1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Weitere Sicherheitsprobleme im IE

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 26. Januar 2010.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Ein Sicherheitsforscher will in Kürze eine Sicherheitslücke im Internet Explorer veröffentlichen, die Microsoft bereits zweimal versucht haben soll zu schließen. Doch dicht ist sie offenbar immer noch nicht.[/FONT]
    [FONT=&quot]Microsoft hat in der letzten Woche außer der Reihe ein umfangreiches Sicherheitsupdate für den Internet Explorer (IE) bereit gestellt. Doch damit sind die Probleme mit Microsofts Browser nicht alle ausgeräumt. Ein Sicherheitsforscher will in der kommenden Woche eine weitere Schwachstelle offen legen, an deren Beseitigung Microsoft bereits seit zwei Jahren scheitert.[/FONT]
    [FONT=&quot] [/FONT]
    [FONT=&quot]Jorge Luis Alvarez Medina, Sicherheitsberater bei Core Security Technologies will am 3. Februar auf der Sicherheitskonferenz Black Hat DC 2010 in Arlington, nahe der Bundeshauptstadt Washington, einen Vortrag über eine Schwachstelle im IE halten. Unter dem Titel "Internet Explorer turns your personal computer into a public file server" will Medina demonstrieren, wie ein Angreifer lokale Dateien auf dem PC eines Opfers auslesen und Informationen stehlen kann.[/FONT]
    [FONT=&quot]Im Grunde handele es sich, soviel verrät Medina vorab, nicht um eine einzelne Lücke sondern um eine Kombination aus mehreren unsicheren Funktionen des IE. Medina will einen Demo-Exploit vorstellen und veröffentlichen. Betroffen sollen demnach alle IE-Versionen unter allen Windows-Ausgaben seit NT sein, einschließlich IE 8 unter Windows 7.[/FONT]
    [FONT=&quot]Core Security hat Microsoft bereits im Jahr 2008 über dieses Angriffsszenario informiert. Microsoft hat in den Jahren 2008 (Security Bulletin MS 08-048und 2009 (MS09-19) Sicherheits-Updates für den IE bereit gestellt, die jedoch nach Angabe von Medina zu kurz greifen. [/FONT]
    [FONT=&quot]Da Microsoft das für den Patch Day am 9. Februar vorgesehene Sicherheits-Update bereits am 21. Januar veröffentlicht hat, ist fraglich, ob es so kurzfristig ein weiteres Update bereit stellen wird.[/FONT]
     
    #1
    Pilot gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.635
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Weitere Sicherheitsprobleme im IE

    Microsoft Internet Explorer: Erneute Schwachstelle soll Zonenmodell aushebeln können
    Kaum ist etwas Ruhe um den IE von Microsoft eingekehrt, kommt schon das nächste Problem.
    Update, 29.01.2010: Auf der Black Hat Sicherheitskonferenz am 3. Februar will ein Mitarbeiter von Core Security weitere Schwachstellen des Internet Explorers

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , mit denen man durch präparierte Webseiten die Inhalte von Besucher-PCs auslesen kann.
    Das Problem hängt mit den Einstellungen der Sicherheitszonen im Browser zusammen, im Detail geht es um die Pfadangabe im Browser, durch die man auf lokale Daten zugreifen kann, obwohl dies durch das Zonenmodell eigentlich verhindert werden soll. Das Problem bei der Lösung sei, dass die Schwachstellen Bestandteil der grundlegenden Browser-Funktionen handelt. Laut den Informationen gilt das Problem für alle IE-Versionen.

    Update, 22.01.2010: Der aktuelle Sammelpatch, der über die Windows Update-Funktion aufgespielt werden kann, behabt die bekannt gewordenen Sicherheitslücken im Internet Explorer. Neben dem Fehler in der Speicherverwaltung, die es erst ermöglicht hat Firmen wie beispielsweise Google angreifbar zu machen, werden auch andere Sicherheitslücken behoben.

    Die jüngsten Sicherheitsprobleme haben alle IE-Versionen auf der Windows-Plattform betroffen, die kritischsten Lücken gab es allerdings beim Internet Explorer 6.

    Interessante Information am Rande:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    kannte die Lücken bereits seit September 2009.

    Update, 21.01.2010: Microsoft hat angekündigt, dass ein Notfall-Patch für den Internet Explorer noch am Donnerstag veröffentlicht wird. Mittlerweile gibt es auch Berichte über Webserver, die den Fehler im IE aktiv ausnutzen um die Besucher einer Webseite mit Schädlingen zu infizieren.

    Update, 20.01.2010: Medienberichten zufolge will Microsoft noch diese Woche den geforderten Patch veröffentlichen, der die besagte Lücke im Internet Explorer schließen soll. Er ermöglichte es, dass chinesische Hacker eine bisher nicht näher genannte Zahl an

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    angreifen konnten. Glaubt man Sicherheitsexperten, ist der Patch nötiger denn je. Aussagen von Microsoft, die Lücke können durch den Umstieg auf den IE8 gänzlich vermieden werden, sind offenbar nur temporär zu verstehen.

    Microsoft's UK Security Chief Cliff Evans wird

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , dass ein Umstieg auf den Firefox oder andere alternative Browser schwere Sicherheitsprobleme nach sich ziehen würde. Die Nutzung anderer Browser würden viel breitere Risiken und Probleme mit sich bringen.

    Update, 19.01.2010: Zum Thema Sicherheitslücke im Internet Explorer gibt es diverse Neuigkeiten. So rät nun auch Frankreichs Sicherheitsbehörde davon ab, den Internet Explorer zu nutzen, solange kein Patch von Microsoft veröffentlicht wurde. Ähnliches hatte auch schon das BSI, das Bundesministerium für Sicherheit in der Informationstechnik, geäußert.

    Medienberichten zufolge will Microsoft noch diese Woche den geforderten Patch veröffentlichen, der die besagte Lücke im Internet Explorer schließen soll. Er ermöglichte es, dass chinesische Hacker eine bisher nicht näher genannte Zahl an Unternehmen angreifen konnten. Glaubt man Sicherheitsexperten, ist der Patch nötiger denn je. Aussagen von Microsoft, die Lücke können durch den Umstieg auf den IE8 gänzlich vermieden werden, sind offenbar nur temporär zu verstehen.

    Microsoft's UK Security Chief Cliff Evans wird

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , dass ein Umstieg auf den Firefox oder andere alternative Browser schwere Sicherheitsprobleme nach sich ziehen würde. Die Nutzung anderer Browser würden viel breitere Risiken und Probleme mit sich bringen.

    --

    Die chinesischen Internetangriffe sollen via Internet Explorer möglich geworden sein. Das ermittelten

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    . Die Lücke in den Versionen 6-8 sollen bisher nicht bekannt gewesen sein. Die Lücke soll sich dazu missbrauchen lassen, einen manipulierten Webseiten-Code auf den Rechner zu schleusen, mit dem anschließend Trojaner-Downloader platziert werden können. Dieser Trojaner soll dann über eine SSL-verschlüsselte Verbindung weitere Module nachgeladen haben - darunter auch Backdoor-Programme. Die Links zu den Webseiten sollen per Mail an ausgesuchte Mitarbeiter gegangen sein.

    Die von McAfee gesammelten Daten sollen darauf schließen lassen, dass der Angriff unter dem Namen Aurora ablief und Firmen wie Google, Adobe, Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemical betroffen sind. Man geht davon aus, dass die Angriffe zwischen Mitte Dezember und Anfang Januar durchgeführt wurden, was in die Weihnachtszeit fällt und so viele Mitarbeiter im Urlaub waren, was den Hackern in die Hände gespielt haben soll.

    In Redmond hat man die

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    und arbeitet an einem Patch, der das Loch abdichtet. Man denkt sogar darüber nach, den Unternehmen einen Emergency-Patch außerhalb des üblichen Patchzyklus zu übergeben. Die Lücke soll in den Versionen 6-8 vorhanden sein, aber die Hacker sollen lediglich Version 6 angegriffen haben. Hier kam die Frage über die Software-Pflege in Firmen auf. Microsoft empfiehlt als Sofortmaßnahme die Sicherheitseinstellungen für Internet und Intranet auf hoch zu setzen. Ebenfalls hilfreich sei die Deaktivierung von Javascript, da die Exploits dieses verwenden. Für umfassende Sicherheit wäre noch die Aktivierung der DEP (Datenausführungsverhinderung) zu empfehlen. Unter Windows Vista und Internet Explorer 7/8 sei die Lücke weniger gefährlich, da der Browser hier im geschützten Modus läuft.
    --
    Autor: Andreas Link (29.01.2010)


    Quelle: pcgameshardware (os-informer)
     
    #2

Diese Seite empfehlen