PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : > IE-Bug gefährdet Surfer <


Gast
2004-06-08, 05:43:49
Das gemeldete Sicherheitsloch im Internet Explorer erlaubt es tatsächlich beliebigen Web-Seiten, Dateien aus dem Internet herunter zuladen und zu starten. heise Security konnte diesen Vorgang auf einem voll gepatchten System mit Windows XP und Internet Explorer 6 reproduzieren. Der c't-Browsercheck stellt eine für deutsches Windows XP angepasste Version der Original-Demo bereit.

http://www.heise.de/newsticker/meldung/48016

Skorpion
2004-06-08, 06:50:34
Ähm, dass dieser Bug uralt ist, ist dir sicherlich bekannt?

Gast
2004-06-08, 08:14:55
Das wird bestimmt der Grund sein, warum im Heise-Artikel von "neuen Bugs" gesprochen wird...

Radeonator
2004-06-08, 08:39:32
Jo supi, uralt(News vom 08.06 :eyes: )...lesen statt voschnell schreiben. Trotz , achtung nu kommts, aktueller Fixes besteht dieser Bug.

Nagilum
2004-06-08, 09:11:36
Bei den ganzen Käfern, die einem der IE ins Haus schleppt, kann schonmal jemand die Übersicht verlieren. :)

Allerdings ist dieser Exploit mal wirklich lustig. Ein falscher Klick im IE und man hat mit mehr Trojanern zu kämpfen als Brad Pitt.

:bad2:

Fröhliches Infizieren wünschen euch eure Freunde aus dem Linux und Firefox Lager! :bäh2:

GUNDAM
2004-06-08, 09:22:37
Wer die Bugschleuder IE nutzt ist eigentlich selbst schuld. Jeder sollte so vernünftig sein und lieber Mozilla oder Opera nutzen.

Exxtreme
2004-06-08, 09:53:12
Original geschrieben von Skorpion
Ähm, dass dieser Bug uralt ist, ist dir sicherlich bekannt?
Das Ding ist nagelneu und selbst ein komplett gepatchter IE ist betroffen. :D

Wer den IE zum surfen einsetzt, der verdient's nicht anders.

imagine
2004-06-08, 16:55:07
Ein Mod könnte mal das "-Bug" im Titel entfernen...

Gast
2004-06-08, 18:14:07
Original geschrieben von Nagilum
Fröhliches Infizieren wünschen euch eure Freunde aus dem Linux und Firefox Lager! :bäh2: ich benutze den ie hin und wieder auch unter linux...du sprichst sicher nicht für jeden...

Gast
2004-06-08, 18:14:57
Original geschrieben von Exxtreme
wer den IE zum surfen einsetzt, der verdient's nicht anders. wer linux nutzt wohnt in nem dunklen keller und hat keine freunde...genau so ne schwachsinnsaussage

SertscH
2004-06-08, 19:08:45
Original geschrieben von Jean-Luc Picard
Wer die Bugschleuder IE nutzt ist eigentlich selbst schuld. Jeder sollte so vernünftig sein und lieber Mozilla oder Opera nutzen.

z.B. auch jene Familien die Mozilla und Opera nicht kennen?

Sprich: Nicht jeder ist ein Pc-Freak.

Skorpion
2004-06-08, 19:09:07
Original geschrieben von Exxtreme
Das Ding ist nagelneu und selbst ein komplett gepatchter IE ist betroffen. :D

Wer den IE zum surfen einsetzt, der verdient's nicht anders.
Da gabs aber schonmal so einen Fehler im IE. :D

GUNDAM
2004-06-08, 20:18:48
Original geschrieben von SertscH
z.B. auch jene Familien die Mozilla und Opera nicht kennen?

Sprich: Nicht jeder ist ein Pc-Freak.

Das liegt aber auch nur daran, weil Windows diese Bugschleuder gleich mitliefert. Wäre bei Winodws der IE nicht bei könnte es schon ganz anders aussehen.

Gast
2004-06-08, 20:22:33
Original geschrieben von Jean-Luc Picard
Wer die Bugschleuder IE nutzt ist eigentlich selbst schuld. Also 98% der PC-Nutzer weltweit, wenn man der Statistik trauen darf.

HiddenGhost
2004-06-08, 21:02:23
Original geschrieben von Gast
Also 98% der PC-Nutzer weltweit, wenn man der Statistik trauen darf.

Ich bezweifle, dass der IE in diesem Umfang auch genuttz wird. 60-70% sind realistisch, zudem tarnen sich Opera und Konsorten auf Wunsch als IE umd listig ggf. ne idiotische Browserweiche umgehen zu können!

Zudem sei nur noch eins gesagt: Troll hier nicht rum und nenn Fakten!

GUNDAM
2004-06-08, 22:21:05
Original geschrieben von Gast
Also 98% der PC-Nutzer weltweit, wenn man der Statistik trauen darf.

Wie alt ist diese Statistik? Wohl schon ziemlich alt. Seitdem bekannt ist das der IE unzählige Bugs hat, ist diese Zahl von 98% garaniert schon stark gefallen.

Gast
2004-06-08, 22:26:03
Original geschrieben von Jean-Luc Picard
Das liegt aber auch nur daran, weil Windows diese Bugschleuder gleich mitliefert. Wäre bei Winodws der IE nicht bei könnte es schon ganz anders aussehen. und? gutes marketingkonzept das GEMÜTLICH ist...

Markchen
2004-06-09, 00:09:47
Original geschrieben von Gast
ich benutze den ie hin und wieder auch unter linux...du sprichst sicher nicht für jeden...

IE unter Linux ???

Nagilum
2004-06-09, 00:34:00
Läuft mehr schlecht als recht unter Wine.

Exxtreme
2004-06-09, 10:12:17
Original geschrieben von Skorpion
Da gabs aber schonmal so einen Fehler im IE. :D
Es gab so viele Bugs im IE, daß ich aufgehört habe zu zählen. :D Ja, kann schon sein, daß es sowas schonmal gab. Am lustigsten fand ich den Bug, der einen BSOD auslöste unter Win9x wenn man einen speziell präparierten Link anklickte. Es war glaub' file://CON/CON.

Exxtreme
2004-06-09, 10:17:14
Original geschrieben von Gast
Also 98% der PC-Nutzer weltweit, wenn man der Statistik trauen darf.
So sieht's aus. Ich gehe aber eher von 70% - 80% aus. Und ich bin immer noch der Meinung, daß wer sich mit dem IE was einfängt, der ist sich selbst schuld. Alternativen gibt es genug.

Gast
2004-06-09, 10:26:54
Original geschrieben von HiddenGhost
Ich bezweifle, dass der IE in diesem Umfang auch genuttz wird. 60-70% sind realistisch, zudem tarnen sich Opera und Konsorten auf Wunsch als IE umd listig ggf. ne idiotische Browserweiche umgehen zu können!

Zudem sei nur noch eins gesagt: Troll hier nicht rum und nenn Fakten!
Original geschrieben von Jean-Luc Picard
Wie alt ist diese Statistik? Wohl schon ziemlich alt. Seitdem bekannt ist das der IE unzählige Bugs hat, ist diese Zahl von 98% garaniert schon stark gefallen.
Naja. Es sind nur 95%. (Stand: 26.05.2004)

Zitat: Microsoft-Browser dominieren den Markt. Der Anteil des Internet Explorers liegt seit über einem Jahr konstant bei rund 95 Prozent. Der ehemalige Marktführer Netscape verlor im Vorjahr weiter an Boden und auch die anderen Alternativ-Browser sind eher Nischenprodukte. Den Erhebungen nach bewegen sich weniger als fünf Prozent der europäischen User mit ihnen durch das Internet.

Quelle: http://www.chip.de/news/c_news_11974487.html

Ein Blick über den Tellerand schadet übrigens nie! Vergleicht bitte nicht die (technisch doch eher versierten) User dieses Forums mit dem Rest der Weltbevölkerung. Ich habe täglich mit Otto Normalandwender zu tun. Die meisten wissen nicht einmal, was ein Browser überhaupt ist.

Gast_on
2004-06-09, 11:54:03
Danke für diese Panikmache.

Bugs dieser Art gibt es schon viel länger und auch viel gefählicher.
Die von Heise gemachte Demo funktioniert auch nur unter _sehr_ speziellen Voraussetzungen. IMO ist die Meldung bei Heise nur alter Wein in neuen Schläuchen.

Und den IE kann man durchaus genauso sicher wie andere Browser machen und dabei auch kaum auf Java, ActiveX und Co. verzichten.

p.S. ich surfe aber trotzdem lieber mit Opera, für einige Sachen eignet sich der IE halt besser

Gruß

HellHorse
2004-06-09, 12:13:54
Original geschrieben von Gast_on
Und den IE kann man durchaus genauso sicher wie andere Browser machen und dabei auch kaum auf Java, ActiveX und Co. verzichten.

Nein, ActiveX und ActiveSricpting sind bloss Sicherheitslöcher und wenn man die deaktiviert, hat man kein JavaScript.

²³
2004-06-09, 15:20:58
Original geschrieben von Gast_on
Danke für diese Panikmache.

Bugs dieser Art gibt es schon viel länger und auch viel gefählicher.
Die von Heise gemachte Demo funktioniert auch nur unter _sehr_ speziellen Voraussetzungen. IMO ist die Meldung bei Heise nur alter Wein in neuen Schläuchen.

Und den IE kann man durchaus genauso sicher wie andere Browser machen und dabei auch kaum auf Java, ActiveX und Co. verzichten.

p.S. ich surfe aber trotzdem lieber mit Opera, für einige Sachen eignet sich der IE halt besser

Gruß

Die Tatsache, dass es mehrere 'Bugs' der gleichen Art gibt, macht sie doch deswegen nicht weniger gefährlich. Anstatt dankbar zu sein, dass es Hinweise auf diese kranke M$-Scheiße gibt, beschwerst Du Dich auch noch, dass man Dir das gute Gefühl beim surfen nehmen will... Das ist ja wohl mega-gestört.

Gast
2004-06-09, 16:31:31
Original geschrieben von HellHorse
Nein, ActiveX und ActiveSricpting sind bloss Sicherheitslöcher und wenn man die deaktiviert, hat man kein JavaScript. Genau das ist das Problem. Javascript ist a priori ja kein Sicherheitsproblem. Die meisten hier, die Mozilla oder Firefox verwenden, haben es ja auch nicht abgeschaltet.

Die Kombination macht es so unsicher. Wenn MS sich endlich überwinden könnte, Javascript und die proprietären MS-Scriptsprachen zu trennen, wäre imo schon viel gewonnen.

imagine
2004-06-09, 18:08:15
Original geschrieben von Gast
Naja. Es sind nur 95%. (Stand: 26.05.2004)
[...]
Quelle: http://www.chip.de/news/c_news_11974487.html
Die Quelle ist ein Anbieter von Werbebannern. Auf Mozilla basierende Browser haben einen Werbeblocker, der IE nicht.
Der nächste bitte...

Grundsätzlich sind aber auch alle anderen Statistiken nur für genau die Site aussagekräftig für die sie erstellt wurden. Die Statistik von heise sieht ganz sicher völlig anders aus als die der Computerbild. Auf Basis solcher Statistiken Hochrechnungen für die ganze Welt zu erstellen ist ungefähr so zuverlässig wie random(), weil weder die Besucher von heise, noch von Computerbild und erst recht nicht von einer Werbefirma repräsentativ für die Menschheit im Netz sind.
Selbst die Statistik einer einzigen Page ist reichlich ungenau. Eine Seite, drei Counter, alle zeigen was anderes an -> http://www.mywebsite.force9.co.uk/ Und zwar teilweise gravierende Unterschiede.

Original geschrieben von Gast
Javascript ist a priori ja kein Sicherheitsproblem. Die meisten hier, die Mozilla oder Firefox verwenden, haben es ja auch nicht abgeschaltet.
Wenn fremde Leute auf meinem Rechner Fenster öffnen, verkleinern, vergrößern, rumschieben und aus- und einblenden IST das ein Problem. Sicherheit fängt nicht erst dann an wenn der Rechner zum Absturz gebracht wird.
Nicht von ungefähr rät das Bundesamt für Sicherheit in der Informationstechnik dazu Javascript zu deaktivieren. Oder wer von staatlichen Stellen nix hält: Microsoft tut das selbe. In so ziemlich jedem Security Bulletin zum IE wird empfohlen die Sicherheitsstufe für die Zone "Internet" auf "Hoch" zu stellen, um damit Active Scripting zu deaktivieren.
Dieses Zonenmodell, sofern es denn zuverlässig funktionieren würde, wäre übrigens mal ein Pluspunkt für den IE.

Gast
2004-06-09, 20:43:11
Original geschrieben von imagine
Wenn fremde Leute auf meinem Rechner Fenster öffnen, verkleinern, vergrößern, rumschieben und aus- und einblenden IST das ein Problem.Also ich habe Javascript akitiviert und trotzdem, Firefox sei Dank, werden keine Fenster geöffnet oder verschoben usw. Außerdem gehöre ich, wie du vermutlich auch, nicht zu den notorischen Panikmachern, die hinter jedem sich öffnenden Fenster gleich einen terroristischen Angriff vermuten.

Nicht von ungefähr rät das Bundesamt für Sicherheit in der Informationstechnik dazu Javascript zu deaktivieren. Oder wer von staatlichen Stellen nix hält: Microsoft tut das selbe.Abgesehen davon, dass, wer von staatlichen Stellen schon nichts hält, von Microsoft vermutlich noch weniger erwartet, ist es ziemlich schwierig, ohne Javascript vernünftig zu surfen. Da funktioneren ja jede Menge Webseiten nicht mehr richtig.

Hast du eigentlich Javascript eingeschaltet? Oder schaltest du es nur bei Bedarf ein und aus?

Zu den Zahlen noch eine Bemerkung: Ob das jetzt 70 oder 90 Prozent sind (ich kann vermutlich genau so viele Statistiken vorlegen mit 90, wie du mit 70), ändert nichts an der Tatsache, dass dies der überwiegende Teil der Menschheit ist. Heise ist natürlich das andere Extrembeispiel, aber selbst da liegt der Anteil bei rund 60 Prozent, obwohl dort, wie hier, überwiegend Profis unterwegs sind.

HiddenGhost
2004-06-09, 22:54:04
Wobei bei Heise gesagt werden muss, dass sich aus den Stats der Shcluss ergibt, dass viele der Leute aus deem Büro die Seite ansurfen.
Nun fragt mich nicht, wieviele Firmen den IE vorraussetzten und Alternativen verbieten. dies dient wohl hauptsächlich der erleichterung der Wartung des Intranetcontents...

Gast
2004-06-10, 04:24:57
Original geschrieben von Nagilum
Läuft mehr schlecht als recht unter Wine. es gibt nicht nur wine...

HellHorse
2004-06-10, 07:24:56
Original geschrieben von Markchen
IE unter Linux ???
Klar, google mal nach Internet Explorer for Unix.
Liegt bei uns auf den Solaris Kisten.

Gast_on
2004-06-10, 08:40:41
Original geschrieben von ²³
Die Tatsache, dass es mehrere 'Bugs' der gleichen Art gibt, macht sie doch deswegen nicht weniger gefährlich. Anstatt dankbar zu sein, dass es Hinweise auf diese kranke M$-Scheiße gibt, beschwerst Du Dich auch noch, dass man Dir das gute Gefühl beim surfen nehmen will... Das ist ja wohl mega-gestört.

Die Tatsache, dass du auf meinen Post antwortest ohne ihn vorher richtig zu lesen find ich gestört.

Ich bin dankbar für Hinweise, nur bitte nicht auf BILD-Niveau.
Ich surfe meistens mit Opera und habe überhaupt kein gutes Gefühl beim IE.
Und ich bin auch überzeugt davon, dass wenn man die Sicherheitslücke schließt, auf die mehrere Bugs ansetzen, man diese Sorte Bugs gleich weniger gefährlich sind. Dabei sollte man sich nur halt nicht immer auf Patches von MS verlassen.

Gruß

imagine
2004-06-10, 10:57:59
Original geschrieben von Gast
Also ich habe Javascript akitiviert und trotzdem, Firefox sei Dank, werden keine Fenster geöffnet oder verschoben usw.
Javascript ist nicht komplett böse, aber es bietet eine Menge Sachen an, die es lieber nicht geben sollte. Wenn man die Unterstützung zahlreicher Befehle deshalb _deaktiviert_, stellt sich die Frage inwieweit man noch uneingeschränkt davon sprechen kann, Javascript sei _aktiviert_.
Original geschrieben von Gast
Abgesehen davon, dass, wer von staatlichen Stellen schon nichts hält, von Microsoft vermutlich noch weniger erwartet, ist es ziemlich schwierig, ohne Javascript vernünftig zu surfen. Da funktioneren ja jede Menge Webseiten nicht mehr richtig.
Hast du eigentlich Javascript eingeschaltet? Oder schaltest du es nur bei Bedarf ein und aus?
Ja, wobei meine Reaktion bei solchen Seiten nicht ist Javascript einzuschalten. Wenn ich auf eine Site komme wo ich genau nichts machen kann, weil der Anbieter lieber "window.open" statt "a href" benutzt, verschwinde ich eben wieder.
Sites die ich regelmäßig besuche oder wo der Einsatz einer Skriptsprache notwendig ist, wandern auf eine Whitelist.

Gast
2004-06-10, 13:54:24
Original geschrieben von imagine
Javascript ist nicht komplett böse, aber es bietet eine Menge Sachen an, die es lieber nicht geben sollte. Wenn man die Unterstützung zahlreicher Befehle deshalb _deaktiviert_, stellt sich die Frage inwieweit man noch uneingeschränkt davon sprechen kann, Javascript sei _aktiviert_.Ich mag es halt persönlich nicht, wenn irgendwo Fenster aufgehen. Deshalb habe ich diverse Befehle deaktiviert. Aber z.B. bei Ebay läuft ohne Javascript halt nicht viel. Etwas Komfort muss sein! Sonst kann ich ja gleich mit Lynx surfen gehen. ;)

Auf der anderen Seite ist mir jetzt kein Fall bekannt, in dem Javascript allein, also ohne Sicherheitslücke in Windows oder im Internet Explorer, zu Sicherheitsproblemen geführt hat.

OT: Diese Diskussion hat ja echt mal Niveau. Danke.

²³
2004-06-10, 17:43:15
Original geschrieben von Gast_on
Die Tatsache, dass du auf meinen Post antwortest ohne ihn vorher richtig zu lesen find ich gestört.

Ich habe ihn gelesen, aber aufgrund von Logik-Lücken (bei Dir) anscheinend nicht richtig verstanden. Daran solltest Du arbeiten.

Original geschrieben von Gast_on
Ich bin dankbar für Hinweise, nur bitte nicht auf BILD-Niveau.
Ich surfe meistens mit Opera und habe überhaupt kein gutes Gefühl beim IE.
Und ich bin auch überzeugt davon, dass wenn man die Sicherheitslücke schließt, auf die mehrere Bugs ansetzen, man diese Sorte Bugs gleich weniger gefährlich sind. Dabei sollte man sich nur halt nicht immer auf Patches von MS verlassen.

Gruß

Was erwartest Du denn noch? Einen Hinweis auf eine Heise-Meldung kann man ja wohl kaum 'Bild-Niveau' nennen.

imagine
2004-06-11, 01:12:00
Original geschrieben von Gast
Ich mag es halt persönlich nicht, wenn irgendwo Fenster aufgehen. Deshalb habe ich diverse Befehle deaktiviert. Aber z.B. bei Ebay läuft ohne Javascript halt nicht viel. Etwas Komfort muss sein! Sonst kann ich ja gleich mit Lynx surfen gehen. ;)

Auf der anderen Seite ist mir jetzt kein Fall bekannt, in dem Javascript allein, also ohne Sicherheitslücke in Windows oder im Internet Explorer, zu Sicherheitsproblemen geführt hat.
Wenn Funktionen von Javascript _alleine_ zu Sicherheitslücken führen würden, wäre diese Funktionen ja schon lange draußen :)
Stimmt allerdings dass im Unterschied zu ActiveX mit Javascript kein Zugriff auf alle möglichen und unmöglichen Betriebssystemfunktionen möglich ist. Insoweit muss da schon ein Bug vorhanden sein um mit Hilfe von Javascript Dateien auf den Rechner zu schleusen oder dort auszuführen.
Wie oben schon geschrieben ist mein Problem mit Javascript allerdings nicht, dass damit Viren, Würmer oder sonstwas auf meinen Rechner wandern würden, sondern nervende Aktionen auf meinem Desktop. Wenn ich meinem Browserfenster eine bestimmte Größe gebe, möchte ich gerne dass das so bleibt und nicht irgendein dahergelaufener Webmaster meint er wisse besser als ich wie groß das Fenster zu sein hat. Offenbar siehst du das ähnlich wie ich, sonst hättest du Javascript in diesen Bereichen ja nicht deaktiviert.

Gast_on
2004-06-11, 10:48:33
Original geschrieben von ²³
Ich habe ihn gelesen, aber aufgrund von Logik-Lücken (bei Dir) anscheinend nicht richtig verstanden. Daran solltest Du arbeiten.

Bin halt genervt von dieser MS-Basherei und hab vorher auch noch im Heise Forum gelesen, da überschlagen sich auch mal die Gefühle.
Original geschrieben von ²³
Was erwartest Du denn noch? Einen Hinweis auf eine Heise-Meldung kann man ja wohl kaum 'Bild-Niveau' nennen.
Ich hab mal die IMO Stimmungsmachenden Teile herausgepickt.
Original geschrieben von Heise
Dieser Exploit markiert eine neue Generation von Sicherheitsproblemen im Internet Explorer.

Meiner Meinung nach keine neues Sicherheitsproblem.

Offensichtlich suchen Virenbastler mittlerweile selbst aktiv nach neuen Sicherheitslöchern im Internet Explorer.

Offensichtlich schadet Krebs mittlerweile aktiv der Gesundheit.

Wer Active Scripting für die Internet-Zone eingeschaltet hat, muss künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen.

Das Gleiche wie eins drüber. Ich bin nicht gefährdeter weil immer neue Lücken auftauchen sondern weil die alten nicht gefixt werden. Jemand der Schaden anrichten will hat jetzt nur mehr Auswahl. Und speziell diese Lücke wird in "Hackerkreisen" unbeliebt sein, weil es viel allgemeinere Lücken gibt.

Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren.

Und wieder dieses schwammige Wort "mittlerweile".
Cracker versuchen Server zu hacken seit es Server gibt. Und ja, auch Linux ist hackbar.

Tipps wie Sie Ihren Browser sicher konfigurieren können, gibt der c't-Browsercheck und der Artikel "Verrammelt, Internet Explorer sicher konfigurieren" in c't 13/04, die am 14.6.04 am Kiosk erscheint.

Genauso könnte es auch in der Computer-Bild stehen: "Verrammelt, Internet Explorer sicher konfigurieren".
Und alle machen das dann und glauben ihr IE ist dann Fort Knox. Stand ja in der c't, der muss dann ja sicher sein.

Ums nochmal klarzustellen, ich bin weder contra Linux noch pro Windows. Mich nerven nur die ständigen Mäkelleien und Stichelleien beiderseits. Speziell Heise wirkt auf mich recht parteiisch. Da find ich das 3DC-Forum deutlich angenehmer.

Gruß

HiddenGhost
2004-06-11, 18:40:25
Ich halte heise als einzigen Verlag für unabhängig. Die legen in ihren Zeitschriften darauf wert, gleichmäßig Häufig alle Browser zu zeigen... mozilla, opera, ie... etc.
Darüber hinaus beschönigen die ihre Artikel nicht derart wie du es gerade mit der Computerbildanalogie zur C't andeuten willst.

GUNDAM
2004-06-14, 20:29:27
Und noch eine neue Sicherheitslücke im IE: http://www.winfuture.de/news,15110.html

Exxtreme
2004-06-14, 20:33:57
Hier eine genauere Beschreibung:

http://www.heise.de/security/news/meldung/48229

Brillus
2004-06-14, 21:44:07
Nur der vollständigkeit halber der fehler /con7con war eher kein IE fehler sondern ein Windows fehler das Win98 auf dos basiert und da dies reservierte namen waren für schnittstellen(com1 etc war genau das selbe) man konnte so ja auch keine Ordner nen auf jeden fal nicht auf c

Edit: in win2k kein man auch keine ordner so nennen