sicherheit und vorschaufenster

Hallo,

ich habe 2 fragen was die sicherheit unter OE6 angeht:
Meine sicherheitseinstellungen:
Zone für eingeschränkten sites aktiviert (alle aktive inhalte deaktiviert)
warnung anzeigen wenn andere anwendungen versuchen, e-mail unter meinem name zu versenden,.
Nachrichten als nur text lesen

Das vorschaufenster ist immer aktiviert, aber ich lese dass das vorschaufenster eine gefahr darstellen kann wegen mögliche active inhalte usw.
Jedoch wegen den oben genannte sicherheitseinstellungen frage ich mich warum das vorschaufenster auch in diesem fall gefährlich sein kann, weil die zone eingeschränkten seites aktiviert ist, also keine aktive inhalte sind im vorschaufenster zu sehen.
Außerdem mit der funktion ?nachrichten als nur text lesen? sind die nachrichten im text-format zu betrachten.

Die fragen:

1)Ist das vorchaufenster noch ein risikofaktor obwohl die aktive inhalte unterbunden sind? Wenn ja, warum?

2) Wenn ich die funktion nachrichten als nur text lesen deaktiviere kann ich die mails im html-format lesen.
Kann eine mail im html-format gefährlich sein wenn keine aktive inhalte eingebunden sind?

Ich freue mich auf eine klare antwort, damit endlich die genannte fragen die ich mir oft gestellt habe eine antwort erhalten.

Vielen dank und ciao

 

Daher schrieb ich ja auch, dass da mal was WAR. Und es ist ja IMMER irgendwas. Ein Programmabsturz ist erstmal nur ne Belästigung, klar. Kann aber nun mal zu Datenverlusten und weiteren Abstürzen führen.
Zitat der Stunde:
Das Gespann OE/IE stinkt, auch wenn man Duftwässerchen im Litermaßstab drüberkippt. [Heiko Schlenker in dcsm]

 

Kann ich nicht reproduzieren, bei mir stürtzt da nix ab, weder über file:// noch http://, getestet mit Mozilla 1.4, IE 5.0, NS 4.5 und Mosaic 3.0

Selbst wenn es funktionieren würde, wäre es IMHO aber auch mehr eine Belästigung als eine echte Sicherheitslücke.

 

Oder von deren Witwen

 

> Kann man die exploits mit anderen malware wie viren oder würmer vergleichen?

Viren und Würmer können Exploits ausnutzen, um ihre Schadensfunktion auszuführen oder überhaupt erst ins System zu gelangen. Es ist aber nicht dasselbe.

> Und jetzt stelle ich mir die frage, abgesehen von vorschaufenster, ob mit der funktion ?als nur text lesen?, die exploits weiter gefährlich sein können.

Plain/txt-Dateien können eigentlich keinen Schaden anrichten.
Das Problem aber ist, dass z.B. der IE HTML, Scripte und aktive Inhalte in Dateien auch dann ausführt, wenn die entsprechende Datei die Endung .txt hat, was z.B. dazu ausgenutzt werden kann um den sich in Sicherheit wiegenden User einen Dialer unterzujubeln.
Jüngstes Beispiel dafür ist eine von WKAN ausgehende Spamwelle, siehe hier.


Ein weiterer schwerer Nachteil der Vorschau wurde hier noch nicht angesprochen, nämlich die Adressverifizierung durch Spammer. Diese verzieren oft ihre HTML-Spams mit hybschen Bildchen, die sehr oft über personalisierte Links aufgerufen werden, z.B.:
<img src="http://www.spammerdomain.biz/fickelbildchen.jpg?personalID=DEINE@EMAILADRESSE.TLD"

Wird so eine mail in der Vorschau aufgerufen, wird das im HTTP-Server des Spammers geloggt und er hat damit Deine Adresse verifiziert. Diese kann er dann als echt und aktiv genutzt an seine Kollegen weiterverscherbeln und Du darfst Dich in Zukunft auf noch mehr Post für mortgage, Pimmelverlängerung oder von nigerianischen Bankdirektoren erfreuen.


Univacs

 

Ein Exploit muss kein Programm sein.
Zunächst mal kommt es von "ausbeuten, ausnutzen".
Ein Exploit ist zunächst die technische Erklärung für einen Programmfehler, meist verbunden mit einer Anleitung, wie sich dieser Fehler reproduzieren lässt und ausnutzen ließe. Daher "to exploit".
Das Ganze gipfelt dann in einem PoC-Code (Proof-of-Concept), in dem beispielhaft, also zu Demonstrationszwecken, die Funktionsweise zu sehen ist.

Was die Links zu den Exploits betrifft:
http://www.securityfocus.com/bid/10023
Punkt 5 im Beitrag dieses Forums
Es gibt da noch mehr, aber ich hab das jetzt nur auf die Schnelle gemacht...

Achso...zur Vorschau und den anderen Wegen:
Es gibt IMMER die Möglichkeit einer Schwachstelle - bei jedem Programm. Die Erfahrung der vergangenen Jahre zeigt aber überdeutlich, dass die Gefahr bei Outlook und Internet Explorer extrem hoch ist - nicht nur, weil sie dank ihrer Verbreitung das Interesse der Malwareautoren genießen, sondern vor ALLEM, weil der Code dieser Programme einfach grottenschlecht ist.

Neben Mails ist natürlich jede beliebige Webseite und jedes fragwürdige Programm, das man sich aus obskuren Quellen besorgt, potenziell gefährlich. Und obskure Quellen erkennt man selten an der Aufmachung oder am Thema der Seite. Die Zeiten, wo es half, Hacker- und ****o-Seiten zu meiden, sind längst passé.

 

Eure beiträge sind interessant, aber für ein normaler user wie ich nicht so einfach zu verstehen, vor allem wenn es um exploits geht.
Ich weiss lediglich, dass ein exploit ein programm ist, (sind die wirklich programme?) das sicherheitslücke in betriebssysteme und anwendungen ausnutzt um sein ziel zu erreichen.
Kann man die exploits mit anderen malware wie viren oder würmer vergleichen?

Und jetzt stelle ich mir die frage, abgesehen von vorschaufenster, ob mit der funktion ?als nur text lesen?, die exploits weiter gefährlich sein können.
Können die nur als anhang auf pc landen, oder verwenden sie andere wege?

Danke
maspel

 

> Es hat schon Fälle gegeben, in denen reine HTML-Tags (mit Formularen war da mal was) das Programm zumindest zum Absturz brachten IIRC.

Ich mir beim besten Willen nicht vorstellen wie man mit purem (X)HTML als reiner Seitenbeschreibungssprache ausser allfälligen Designverbrechen wirklichen Schaden anrichten kann. Da hätte ich dann mal gerne einen relevanten Link.

> Zudem gehören zu HTML-Mails ja oft auch Bilder und wenn ein solches entgegen seiner Dateiendung ein VBScript enthält und Outlook mal wieder via Exploit über den MIME-Typ getäuscht wird, könnte trotz des Verbots aktiver Inhalte dann der Bär steppen.

Diese Möglichkeit muss man dagegen wirklich ernst nehmen, daran hatte ich nicht gedacht. AFAIR kann man auch in jpeg-Kommentare Scripte reinschreiben und diese so dem Brauser unterjubeln.


Univacs

 

Selbst damit wäre ich vorsichtig.
Es hat schon Fälle gegeben, in denen reine HTML-Tags (mit Formularen war da mal was) das Programm zumindest zum Absturz brachten IIRC. Zudem gehören zu HTML-Mails ja oft auch Bilder und wenn ein solches entgegen seiner Dateiendung ein VBScript enthält und Outlook mal wieder via Exploit über den MIME-Typ getäuscht wird, könnte trotz des Verbots aktiver Inhalte dann der Bär steppen.

 

> 1)Ist das vorchaufenster noch ein risikofaktor obwohl die aktive inhalte unterbunden sind? Wenn ja, warum?

Ja, weil das Sicherheitszonenkonzept vom IE buggy ist und durch geeignete Exploits untertunnelt werden kann. Wenn man unbedingt Outbreak/OjE benutzen möchte sollte man die Vorschaufunktion unbedingt ausschalten.


> Kann eine mail im html-format gefährlich sein wenn keine aktive inhalte eingebunden sind?

Reines HTML ohne ActiveX, Scripte und andere aktive Inhalte kann keine Schadensfunktionen enthalten.

HTH


Univacs