1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Neue Lücken im Internet Explorer aufgetaucht

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 23. November 2009.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Im Internet Explorer sind zwei Sicherheitslücken entdeckt und veröffentlicht worden. Eine betrifft die IE-Versionen 6 und 7 und kann das Einschleusen von Code ermöglichen. Die andere ist eine XSS-Lücke im IE 8.[/FONT]
    [FONT=&quot]In den älteren Versionen 6 und 7 des Internet Explorer ist eine bis dahin unbekannte Sicherheitslücke aufgedeckt worden. Ein kommentarloser Beitrag auf einer Mailing-Liste enthält Beispiel-Code, der den Internet Explorer (IE) zum Absturz bringt. Im davon nicht betroffenen IE 8 ist eine XSS-Lücke enthalten, über die Microsofts Schutzmechanismus gegen XSS-Angriffe missbraucht werden kann.[/FONT]

    [FONT=&quot]Die Schwachstelle im IE 6/7 ist von einer unbekannten Person veröffentlicht worden, die sich "securitylab.ir" nennt. Der Sicherheitsdienstleister Secunia bestätigt die als "highly critical" eingestufte Lücke für IE 6 unter Windows XP SP2 sowie IE 7 unter Windows XP SP3. Das Problem stecke in der Programmbibliothek "mshtml.dll" zur Anzeige von Web-Seiten,schreibt VUPEN Security . Es tritt bei der Verarbeitung bestimmter CSS-Anweisungen (Cascading Stylesheets) mit Javascript auf. Der Beispiel-Code benutzt die Javascript-Anweisung "getElementsByTagName()" und eine sehr lange Zeichenkette.[/FONT]
    [FONT=&quot]Die Schwachstelle ist unterdessen von Symantec bestätigt worden. Das Einschleusen beliebigen Codes scheint möglich. Der veröffentlichte Code funktioniert jedoch laut Symantec nicht zuverlässig. Es sei jedoch wahrscheinlich, dass bald verbesserter Code auftauchen werde, heißt es im Symantec Security Response Blog Zum Schutz müsste man Scripting im IE abschalten, wodurch jedoch etliche Web-Seiten nicht mehr benutzbar wären.[/FONT]
    XSS-Lücke im IE 8

    Im Internet Explorer 8 ist bereits vor längerer Zeit eine XSS-Schwachstelle (Cross-Site Scripting) entdeckt, jedoch erst jetzt veröffentlicht worden. Microsoft soll schon vor Monaten informiert worden sein. Das britische News-Portal The Register ("El Reg") berichtet, der Fehler stecke in Microsofts Schutzmaßnahme zur Verhinderung von XSS-Angriffen. Dadurch sei es möglich Angriffe auf eigentlich sichere Websites zu starten.

    Dazu müsste ein Angreifer den XSS-Schutz im IE dazu bringen, den Code einer Web-Seite so umzuschreiben, dass ein XSS-Angriff möglich wird. Aus diesem Grunde hat Google auf seinen Websites offenbar eine Option zum Ausschalten des XSS-Schutzes aktiviert. Google fügt dazu die Zeile "X-XSS-Protection: 0" in die Header seiner Seiten ein - nach eigenen Angaben, um ebendiese Schwachstelle im IE zu vermeiden.
    Offizielle Stellungnahmen von Microsoft zu den neuen Schwachstellen gibt es bislang nicht. Microsoft hat jedoch gegenüber El Reg bereits die in solchen Fällen üblichen Floskeln abgesondert. Reale Angriffe seien zudem bislang nicht bekannt.
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. sumsi
    Offline

    sumsi VIP

    Registriert:
    13. Mai 2009
    Beiträge:
    5.393
    Zustimmungen:
    4.142
    Punkte für Erfolge:
    113
    AW: Neue Lücken im Internet Explorer aufgetaucht

    Danke Camouflage für diesen intressanten Thema.

    lese mal was microsoft dazu geschrieben hat nach dem die lücke gefunden wurde von einen anonymen programmierer:

    Wer mit der neuen IE-Version surft (Internet Explorer 8) hat allerdings nichts zu befürchten. In einem Blog-Eintrag bestätigt Sicherheitsanbieter Symantec diese Schwachstelle und erklärt, dass sie nur mit den älteren IE-Versionen 6 und 7 funktioniert. Diese werden allerdings immer noch millionenfach genutzt.
    Der Fehler trete laut dem Bericht beim Aufruf der JavaScript-Methode «getElementsByTagName» auf. Eine Methode, sich zu schützen, ist die Deaktivierung von Active Scripting (für die Internet-Zone). Leider werden danach aber viele Sites nicht mehr richtig angezeigt. Es ist daher zu empfehlen, auf die neuste Version des Internet Explorers (IE 8) zu wechseln.

    Langsam tauchen viel mehr fehlern im win7 system,ich hoffe dass sie es langsam beheben können mit dem neuen dezember update.
    mal sehen,irgendwie denke ich dass Microsoft extra solche lücken lässt als Marketing strategie,dann kommen die verbesserungen damit es mehr sicherheit ins computer bringt.
     
    #2
  4. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: Neue Lücken im Internet Explorer aufgetaucht

    Hallo Sumsi solange es irgendein sehr verbreitetes Betriebssystem gibt,wird es auch immer Leute geben die dort Fehler finden(Wollen) oder Schadsoft dafür Programieren.Es ist ein ständiges Katz und Mausspiel zwischen den Hackern und dem Softwareprogramierer.
     
    #3
    Pilot und sumsi gefällt das.
  5. sumsi
    Offline

    sumsi VIP

    Registriert:
    13. Mai 2009
    Beiträge:
    5.393
    Zustimmungen:
    4.142
    Punkte für Erfolge:
    113
    AW: Neue Lücken im Internet Explorer aufgetaucht

    Hi Camouflage,hast du vollkommen recht,so ein katzen maus spiel wird immer geben
    solange neue software rauskommen,das macht aber sicher spass für uns zumindest mit zu testen und berichten zu dürfen.
    Was mich bewundert hat dass windows 7 noch nicht offiziel auf der markt war ,kamen die ersten fehlern schon raus...krass
    jetzt werden sie immer mehr und mehr rausfinden.Das beste ist das microsoft auf
    hacker meldungen warten dann erst reaktion zeigen,das zeigt dass MS selber abhängig ist vom hackern.oder!
     
    #4
    1 Person gefällt das.
  6. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.635
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Microsoft gibt Sicherheitsmeldung zur IE-Lücke heraus

    Microsoft gibt Sicherheitsmeldung zur IE-Lücke heraus

    Microsoft hat zu der gemeldeten Sicherheitslücke im Internet Explorer 6 und 7 eine Sicherheitsmeldung heraus gegeben, in der es die Schwachstelle bestätigt. Demnach ist der IE 8 nicht betroffen.
    Eine kürzlich veröffentlichte

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    kann das Einschleusen von beliebigem Code sowie dessen Ausführung ermöglichen. Beispiel-Code, die die Ausnutzung dieser Schwachstelle demonstriert, ist öffentlich verfügbar.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    hat die Sicherheitslücke inzwischen eingeräumt und eine Sicherheitsmeldung heraus gegeben, die auch Hinweise zur Risikominderung enthält.

    Weiterlesen...

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #5
    bigboss und Pilot gefällt das.

Diese Seite empfehlen