Internet Explorer bleibt Sorgenkind

Dieses Thema im Forum "Netzwelt" wurde erstellt von CanHurry, 29. Januar 2010 .

Schlagworte:
  1. 29. Januar 2010
    Internet Explorer bleibt Sorgenkind

    Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.

    Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.

    Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. Es gebe aber weitere Wege, das Zonenmodell auszuhebeln. Laut Medina seien diese Wege sehr schwer zu versperren, da es sich um grundlegende Funktionen des Browsers handele, damit der Browser mit anderen Anwendungen nahtlos zusammenarbeiten kann.

    Betroffen sind durch die Bank alle Versionen des Internet Explorer von Version 6 bis 8 auf allen verfügbaren Windows-Versionen – inklusive Windows 7. Microsoft soll über die Probleme informiert sein und mit Core Security bereits an einer Lösung arbeiten. Meldungen über erfolgreiche Angriffe durch diese Lücke gebe es nicht. Vorschläge zum Schutz machen bislang weder Medina noch Microsoft.

    Erst vergangene Woche musste Microsoft mit einem Notfall-Patch eine kritische Lücke in seinem Browser schließen, durch die vermutlich chinesische Hacker erfolgreich bei Google, Adobe und anderen US-Unternehmen eindrangen.

    Anwender sollten den Einsatz eines alternativen Browsers in Erwägung ziehen. Zur Wahl stehen Firefox, Chrome und Opera. Diese weisen zwar auch immer wieder kritische Sicherheitslücken auf, insbesondere in Firefox beseitigen die Entwickler häufig kritische Fehler, allerdings gab es dafür bislang so gut wie nie Zero-Day-Exploits. Zudem konzentrieren sich Kriminelle weiterhin auf den Internet Explorer als Angriffsziel. Mit dem zunehmenden Marktanteil des Firefox könnte allerdings auch dieser bald verstärkt unter Beschuss stehen.

    Quelle: heise.de
     
    + Multi-Zitat Zitieren
  3. 1. Februar 2010
    AW: Internet Explorer bleibt Sorgenkind

    Leider kommt der Beschuss gegen den Internet Explorer nicht zur Ruhe. Zu viele Funktionen von Windows basieren auf dem IE und der IE arbeitet in meinen Augen viel zu System nah.

    Es verhält sich ja etwa so. Lücke im IE --> Zugriff aufs ganze System.

    Gabs es nicht mal eine Newsmeldung, dass Microsoft den IE komplett einstampfen möchte ?
     
    + Multi-Zitat Zitieren
  4. 1. Februar 2010
    AW: Internet Explorer bleibt Sorgenkind

    Die größte Sicherheitslücke ist immer noch der Benutzer.
     
    + Multi-Zitat Zitieren
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten