0-Day-Exploits (2): IE-Lücke betrifft auch Internet Explorer 5 und 6

Bei dem Marktanteil von Opera werden Massenattacken ausbleiben.
Aber grundsätzlich ist jede Lücke gefährlich für andere Produkte, die die gleiche Basis haben.
Eine Lücke in Webkit kann es gleichzeitig in Chrome, Safari und und anderen Browser geben, die darauf basieren.
Eine Lücke im IE5 gibt es häufig auch in den höheren Versionen.
Eine Lücke im Gecko gibt es meistens auch in den darauf basierenden Browsern usw.

 

Darum geht es nicht.
Es geht darum, daß auch andere Browser kritische Sicherheitslücken haben und das der Fakt auch dann kritisch wird, wenn diese Browser massenhaft Verwendung finden.

Außerdem sind sie ein zusätzliches Stück Software mit Bugs auf dem Rechner.

 

Spiegel berichtet, dass das BSI nun vor dem Einsatz des IE warnt und Alternativen empfiehlt. Das dürfte sich IMO in Mittel- und Großunternehmen schwierig umsetzen. Zumal die Alternativen keine Option bieten, Updates von einer zentralen Stelle einzuspielen. Aktuell und irgendwie passend geht die Nachricht rum, dass solche Alternativen ein großes Risiko wegen diesem Manko darstellen.

Was nun?

 

irgendwie ist deine argumentation nicht so ganz schlüssig...

1) man muss nach der theorie standardmäßig die krücken verwenden die beim os dabei sind nur weil sie dabei sind - so unpraktisch/umständlich sie auch sein mögen.
2) welche "bugs" einer software, die ich nur zum anzeigen von lokalen hilfe-dateien und zum herunterladen von updates von einer "trusted" webseite verwende jucken mich beim normalen surfen mit einem anderen programm?
3) warum muss ich wie ein lemming die standard software verwenden und damit erst recht für die selben exploits wie der rest der welt anfällig zu sein?

der seamonkey hat auch so seine macken. aber er gefällt mir vom handling, von der optik, hat so um die 0,5% verbreitung und läuft brav als rechtloses programm.

 

Doch, ist sie, wenn man sie versteht. ^^

Wenn man eine andere Software installiert, weil sie einem besser gefällt, dann ist das zwar zusätzlicher Ballast, aber immer noch verständlich.

Wenn man aber neue Software auf den Rechner packt unter dem Deckmantel der erhöhten Sicherheit, dann ist das Augenwischerei.

Erhöhte SIcherheit bekommt man nur, wenn man sich mit den Grundlagen des Systems beschäftigt, daß man nutzt, nicht aber, indem man sich zusätzliche Software auf den Rechner packt.

Und in diesem Thread geht es um Sicherheitsfragen, nicht um Usability oder Ergonometrie oder um persönlichen Geschmack.

 

Ich hasse das PC-Welt-Forum und seine Bugs.

Mußte malgesagt werden, nachdem mein Beitrag schon wieder doppelt gepostet wurde ^^

 

da stimme ich dir vollinhaltlich zu.

nur ziehst du daraus recht ... harte ... schlüsse

 

Sicherheit ist kein Thema für ein Vorspiegeln falscher Tatsachen oder Augenwischerei.

Wenn man darüber spricht, dann sollte man alle Konsequenzen seines Handelns in Betracht ziehen.

 

In genannten Unternehmen sollte es kein Problem sein, befallene Domains am Proxy zu filtern, so daß die Sicherheitslücke nicht ausgenutzt werden kann.

Außerdem gibt es in sochlen unternehmen sicherlich eine Einrichtung zur Softwareverteilung, worüber sich die genannte Problemlösung ohne Streß einspielen lassen sollte.

Ist ja schließlich nur eine popelige Deregistrierung einer DLL.
So what?

Als Workaround bis zum Erscheinen des Patches sollte das reichen.

 

und wo ist jetzt die augenauswischerei in der windows rechte verwaltung?

ist doch shit egal welches programm oder wie viele programme man verwendet, solange irgendwo im kernel festgelegt hat dass der user "restricted" nix im windows ordner zu suchen hat.

 

Kann mich mal jemand konkret aufklären, worin die Lücke besteht und wie sie sich ausnutzen lässt (mein chinesisch ist nicht so dolle)?

 

^^
Boah ist das müßig...

Wenn so eine Softwarelücke bekannt wird, wird aber immer nur auf Alternativsoftware verwiesen!
Und das ist SCHWACHSINN und Augenwischerei und erhöht nicht die Sicherheit!

Wenn man das System richtig bedient und dazu gehört auch die Rechteverwaltung, dann muß man sich nichts anderes installieren!

Und nichts anderes sage ich schon seit Beginn des Threads ^^
Ich habe langsam den Eindruck, Du hast ihn gar nicht gelesen...

 

Für mich klingt das Problem so, dass auch seriöse Seiten betroffen sein können. Demnach müsste man ja das ganze Internet vorsorglich filtern.

http://blog.trendmicro.com/ie-zero-day-follow-up-now-featuring-mass-sql-injections/

Ich meinte das Verteilen bzw. die zentrale Verwaltung eher in Bezug auf die Alternativen. Oder ist das z.B, mit Opera oder Firefox problemlos möglich? Weil PCWelt meint nein:

http://www.pcwelt.de/start/sicherhe...programme_mit_dem_groessten_risiko/index.html

 

Einmal mehr: Jein.
Falls ich mit den Einstellungen für den IE mit ActiveX und all dem Geraffel überfordert oder einfach unsicher bin und die Sicherheitseinstellungen des Firefox für mich nachvollziehbar sind, ist der Firefox für mich die sicherere Software. Wenn ich erst ein Ingenieurs- oder Informatikstudium absolvieren muss, um den bs-eigenen Internetbrowser zu verstehen ...

Also verzichte ich beim IE auf benutzerdefinierte Einstellungen, stelle ihn komplett auf höchste Sicherheit ein und surfe abgesehen von den MS-Seiten (mit allen notwendigen Rechten unter "Vertrauenswürdige Seiten") mit dem FX. Informiere ich mich zudem noch über einige, wenige Add-Ons wie noscript, dann habe ich die Chance, eventuell vorhandenen FX-Lücken sogar noch eine Art Condom zu verpassen.

Wenn ich nichts installieren möchte, kann ich auf meinem PC auch die portable-Versionen von alternativen Browsern betreiben. Die graben sich entweder gar nicht oder doch nur geringfügig ins System.

Wenn letztlich MS es zulassen würde, den IE zu deinstallieren (statt zum Teil des BS zu machen! ), dann müsste ich nicht zwei Programme mit derselben Aufgabe installiert haben, die beide potentiell Sicherheitslücken aufweisen. Aber da schaltet MS leider noch immer auf stur und zeigt sich IMHO in Sachen Internetsicherheit als inkonsequent.

 

Morgen darf gepatched werden.
http://www.computerbase.de/news/sof...dezember/patchday_kritisches_update_mittwoch/

 

...warum sollte man?