News Wieder Sicherheitslücke im Internet Explorer

[Steffen]

Anfang der Woche hat Michael Zalewski, der auch schon Mitte März dieses Jahres eine Sicherheitslücke im Internet Explorer gefunden hat, eine weitere Methode gefunden, um den Internet Explorer zum Absturz zu bringen. Wie sich nun herausstellte, lässt sich dadurch beliebiger Code beim Besuch einer Website ausführen.

Zur News: Wieder Sicherheitslücke im Internet Explorer

 

[Sven]

Betrifft diese Sicherheitslücke auch den IE7?

 

[Kampfgnom]

Ich finds gut dass zugleich auch erwähnt wird dass in Firefox zZ eine Sicherheitslücke zu finden ist. Sonst lauteten die News immer "Lücke im IE. Firefox und Opera besser!"
Das klang sonst immer ein wenig wie Werbung. Hier sehe ich dann endlich mal unparteiische Berichterstattung.

PS: Ich hasse den IE

 

[gatsch1111]

höchst warscheinlich denn sie haben ja net gewusst das sies so nicht machen dürfen*gg*

 

[X!X]

@3: Kampfgnom

Ja schon. Aber machts das

IE: „höchst kritisch“
FF: „nicht kritisch“

besser?

 

[MountWalker]

Da steht deutlich, dass solche Einstufungen auch mal komplett daneben liegen können und nebenbei war genau das auch bei der IE-Lücke anfangs der Fall. Diese wurde anfangs auch als nicht kritisch eingestuft und hat sich mittlerweile als sehr kritisch erwiesen.

zum Artikel

In der aktuellsten Version 1.5.0.2 von Firefox steckt allerdings auch eine ungepatchte Lücke, die sich ebenfalls zum Einschleusen von Code ausnutzen lässt. Zwar soll dies nach Angaben der Entwickler sehr schwierig sein, aber diese Annahme kann sich auch dort als falsch erweisen.

[...]

Darüber hinaus ist ein weiterer Fehler im Internet Explorer bekannt geworden. Durch eine so genannte Race Condition beim Anzeigen der Dialoge zur Installation oder Ausführung von ActiveX-Controls kann ein Opfer aus Versehen ein unerwünschtes Control starten. In der Folge hätte der Angreifer darüber Zugriff auf den PC. Ein Exploit dafür ist bereits veröffentlicht, auf Windows XP SP2 und Windows Server 2003 SP1 funktioniert er allerdings nicht. Für Anwender älterer Windows-Versionen wie 98, ME und 2000 sollte dies einmal mehr Anlass sein, auf die neueren Versionen zu wechseln und die verfügbaren Service Packs einzuspielen.

 

[ElNuntius]

also ich kenne keinen, der noch den IE benutzt.
Kenne auch keine Gründe pro IE.

Und wenn mal eine Wald und Wiesen Seite nicht der Norm entspricht, hat der Anbieter halt Pech gehabt. Thats life.

 

[etagenyeti]

bin mal gespannt wie Fehlerbehaftet der IE7 sein wird wenn er fertig ist...

btw.
empfindet ihr den Firefox 1.5.0.2 auch als extrem buggy gegenüber den Vorgängerversionen?
- ich hab das Problem, dass er öfter abstürzt (ein, zweimal alle 2 Tage) entweder reagiert er einfach nicht mehr oder er schließt sich
- und dass ich des öfteren Text auf einer Seite makiere, auf kopieren klicke, und dann trotzdem nichts in der Zwischenablage ist? (bei ca einem von fünf Kopiervorgängen) das Kopierproblem war schonmal vor der v1.0 drin aber wurde dann ebhoben. Jetzt ists wieder drin...

Im großen und ganzen bin ich aber froh, dass ich von groben Angriffen auf mein System, weil jemand so eine Sicherheitslücke ausgenutzt hat, verschont geblieben bin. Egal mit welchem browser :thumbs

 

[B226]

naja der nächste Patch-Day kommt ja auch bald. Irgendwie hat sich die Bedeutung und der Ernst des Wortes "fixen" seit es Microsoft gibt deutlich verändert...
Wer nicht vorsichtig und mit offenen Augen durchs Netz surft kann mit jedem Browser auf die Schnauze fallen...

 

[MountWalker]

Da ein Exploit verfügbar und die Lücke groß öffentlich ist, ist die Patchentwicklung nicht an den patchday gezwungen, ob es ausgerechnet zum Patchday fertig wird entscheided quasi das, was die meisten hier unter Zufall verstehen.

 

[Yo Mr. White]

also ich kenne keinen, der noch den IE benutzt.
Kenne auch keine Gründe pro IE.

Der IE ist unentbehrlich.

1. Wie soll man sich sonst einen richtigen Browser runterladen
2. Des weiteren kann man den für das Windowsupdate verwenden.


Das sind doch zwei sehr gute Gründe für den IE, mehr kenne ich allerdings auch nicht.

 

[karuso]

@A8
1. kann das jedes andere os auch ohne ie
man könnte zB einen browserloader schreiben wie in reactos.
2. kann man browserunabhängige updateprogramme schreiben. immerhin gehen die automatischen updates auch ohne den ie

microsoft hat den ie nur leider überall in das system zum darstellen von fenstern benutzt, weshalb viele dieser fenster ohne den ie leer bleiben..

 

[MountWalker]

@Karuso

Irre ich mich oder bist du KDE-User, womit für dich der vom Desktop mitgeliferte Web-Browser (Konqueror) genauso wenig verzichtbar ist wie IE für Windows? (Ohne gibts keinen Dateibrowser usw.)

 

[wazzup]

endlich mal ne neutrale news

Zum inhalt: naja wieder ne lücke mehr, was solls. Auf eine mehr oder weniger kommts auch nicht an ^^

 

[Foofoo]

Als User sind wir es schon gewohnt,was die Sicherheitslücken im IE betrifft.

 

[karuso]

@Karuso

Irre ich mich oder bist du KDE-User, womit für dich der vom Desktop mitgeliferte Web-Browser (Konqueror) genauso wenig verzichtbar ist wie IE für Windows? (Ohne gibts keinen Dateibrowser usw.)

zwar nur auf der 2. maschine und der arbeit, aber ja - da ist kde drauf. der konqueror ist aber durchaus verzichtbar: auch ohne konqueror als dateimanager oder browser kommt man zurecht, zB mit gentoo(nicht nur os, auch dateimanager) und firefox. desweiteren kann man ganz auf kde verzichten oder nur kdelight nutzen - das hat nur kdesktop. kicker, kwin und dergl wurden durch kleinere alternativen ersetzt und der standard browser ist firefox. es gab sogar mal die möglichkeit die darstellungsengine khtml durch gecko zu ersetzen.

du siehst also: der konqueror ist nicht annähernd in kde so eingebettet wie der internet-explorer in win.

 

[Spielkind]

Der IE ist prinzipbedingt alternativen Browsern gegenüber stets im Nachteil. Oder eben im Vorteil. Je nachdem wie man es sieht. Imo hat das ActiveX einerseits etwas Gutes. Speziell für unerfahrene Anwender, da Plugins/ Erweiterungen automatisch nachgeladen werden können, ohne das sich der Anwender mit dem Programm beschäftigen muß. Nunja, der Komfort öffnet eben aber auch dem Missbrauch Tür und Toren. Mit dem Augenblick das der IE reglementiert wird (ActiveX, Scripting) ist vorbei mit der schönen Surferei. Sicherheitlücken hin oder her, der prinzipbedingte Nachteil bleibt. Was sich wohl auch beim IE7 nicht ändern wird. Ein Update wird wohl kommen, vielleicht schon beim nächsten Patchday in 2 Wochen.

 

[MountWalker]

@Karuso

Wie bitte entferne ich Konqueror komplett? Da es Teil von kdebase ist, ist das eben bei keiner vorgepackten KDE-Distribution möglich. Und für alle Aufgaben Alternativen finden kann ich auf Windows auch locker, als Dateimanager nehme ich nen Commander oder sowas wie TUGzip usw., ich bin nicht angewiesen, das unbedingt mit IE tun zu müssen. Imho ist der größte Unterschied zwischen KDE und Windows, dass bei KDE die Einheit von Datei- und Web-Browser normal und bei Windows per Gerichtsbeschluss untersagt ist.

Und schonmal bei deiner Apple-Maschine WebKit komplett entfernt?

@Spielkind

Wie ich bereits sagte ist ActiveX nicht allein für Web-Browsing gedacht sondern ein allgemeiner Aufsatz für DCOM, der ganz nützliche Funktionen hat und mittlerweile auch nicht mehr fürs freie Internet-Web-Browsen gedacht ist. (MS versucht schon seit einigen Monaten die Entscheidung ActiveX per Voreinstellung in der Zone Internet komplett deaktiviert zu haben marktfähig zu machen) Ersetzen kann ich ActiveX auf Windows mit .Net, das nicht mehr ans Paket der IE-Engine gebunden ist.

 

[Spielkind]

Mein Post ist wertfrei (gedacht). Auch wenn ich ActiveX für Teufelszeug halte, sehe ich dennoch dessen Vorteile (besonders für unerfahrene Anwender). Wenn MS ActiveX fürs Webbrowsen in der Internet Zone deaktiviert halten will, denke ich, das MS auf einem guten Weg ist. Für einen (unbedarften) Anwender bedeutet dies aber, das manche Webseiten nicht oder nicht richtig dargestellt werden.

 

[BlueBird-XT]

Wen wunder's (Wer den IE nimmt muss seine gerechte Strafe erhalten) !