Sicherheitsrisiko Internet Explorer

[JensusUT]

.... mal wieder, muss man sagen.
Als ich heute den Artikel in der c't las, dachte ich: Whow, dein Scanner müsste jetzt gehen.... doch was sehen meine entzündeten Augen? Einen Heise-Artikel!


Zitat:
Mit einem Klick auf die falsche Web-Seite kann ein Anwender seine Festplatte formatieren oder sogar Dateien auf firmeninternen Servern löschen. Das ist der vorläufige Höhepunkt in der langen Kette von Meldungen über Sicherheitslücken im Internet Explorer von Microsoft. Viele der Gefahren sind hausgemacht und treten bei anderen Browsern so nicht auf.


Anfang des Jahres gab Bill Gates den Startschuss zu seiner "Trustworthy-Computing-Kampagne", mit der Sicherheit bei Microsoft einen höheren Stellenwert bekommen sollte. Aber es hat sich nicht viel geändert, und das zuletzt entdeckte Sicherheitsloch war nur ein weiteres Indiz für die Risiken, die der Internet Explorer mit sich bringt. Um das aktuelle Loch zu stopfen, hat Microsoft zwar mittlerweile einen Patch zur Verfügung gestellt, doch auch der ist nicht wirklich wasserdicht. Zu anderen Sicherheitslöchern stehen Patches noch aus. Demonstrationen auf dem aktualisierten c't-Browsercheckführen vor, wie Web-Seiten bei Benutzern des Internet Explorer Cookies stehlen, Dateien auslesen und Programme starten können.
Oft wird der Grund für die Anfälligkeit des Internet Explorer allein in seiner großen Verbreitung gesehen. Damit sei er ein besonders lohnendes Ziel für Hacker. Das ist aber nur ein Teil der Wahrheit; der andere Teil liegt in der Integration in das Windows-System und im Gesamtkonzept des Browsers. So sind es immer wieder die Erweiterungen ActiveX und ActiveScripting, die es Angreifern ermöglichen, lokale Dateien zu lesen, zu verändern oder zu löschen.
Um dieser Gefahr auszuweichen, muss man selbst Hand anlegen. c't erläutert in der aktuellen Ausgabe 25/02(ab Montag dem 2.12. im Handel), wie man durch verbesserte Sicherheitseinstellungen und Filter das Risiko senken kann. Außerdem stellt c't mit Opera 7 und Mozilla 1.2 aktuelle Browser-Alternativen vor und zeigt Perspektiven für den Umstieg. (ju/c't)

Keine weiteren Kommentare
Ach doch: H-O

[Brummelchen]

Siehe auch hier
Microsoft Security Bulletin informiert/Download

(Bulletin 66-02)

Nun reite mal nciht auf Opera und Mozilla rum - Op7 ist alpha und die 6 nicht kann nicht alles richtig und Mozilla hat auch seine Schwächen und stärken.
Ich hoffe, Opera hat in der v7 seine Rendering-Engine bzgl Tabellen verbessert (erst alles anzeigen, wenn alle Bilder geladen) - Mozilla machts genau umgekehrt, stört doch den Lesefluss durch das umrücken.

Man müsste das ActiveScripting (und nur um das geht es hier) genauer filtern, nicht alles, nur genauer. Oder direkt Zugriff unterbinden auf die Platte

[--RAVEN--]

Also ich fand den Artikel ebenfalls super

Für das Problem gibt es keinen Patch... Gut dass ich keinen IE nutze. Bin mal gespannt wann das ein Virus der Machart von Code Red oder Nimbda ausnutzt. Ein bißchen Schadenfreude könnte ich mir da wohl nicht verkneifen

[Brummelchen]

Raven - die Schadenfreude verkneif dir mal lieber - nicht jeder ist so schlau wie wir und hat ne Firewall und einen Viren-/Trojanerscanner im HG am laufen. Find ich nicht gerade prickelnd den Standpunkt - vor allem wenn man sieht, was für Müll als "Standardpaket" bei den Discountern beigelegt wird - schlichtweg zum
Man sollte langsam echt dazu übergehen, solche Verkaufstellen zu verklagen, wenn man sich sowas einfängt - von daher fand ich auch Jensus Standpunkt überheblich. Wer von euch hat denn NICHT mit Opera angefangen, sondern mit IE? hää? na wer? und wie seit ihr dahingekommen, wo ihr jetzt seit?

[--RAVEN--]

Firewall, Viren- und Trojanerscanner bringen dir bei diesem Problem halt relativ wenig. Im Prinzip stehst du mit runtergelassenen Hosen da. Kann man nix machen ausser den IE zu kicken.

Den IE und Outlook hatte ich nur sehr, sehr kurz verwendet. Bin gleich zu Netscape gewechselt. Hat sich bis heute bewährt der Standpunkt.

Natürlich ist es ätzend für die Leute, falls solch ein Virus Verbreitung findet. Allerdings scheren sich Virenprogrammierer nicht darum ob das die Leute schön finden oder nicht. D.h. man sollte sich nicht darauf verlassen dass alles von selbst gut wird und jeder Viren-Hacker genug Anstand besitzt nicht alle Windows-Installationen dieser Welt die mit dem IE surfen zu killen. Du musst zugeben, dass genau DAS eine Herausforderung für die Programmierer darstellen wird.

Deswegen bringt auch das Gejammere über die buggy MS-Software nichts. Das einzige das hilft ist sich nach Alternativen umzuschauen und sie auch zu verwenden. Das bedeutet aber auch gegebenfalls auf gewissen ActiveX- und VB-Komfort zu verzichten.

Es ist ja nicht so dass man dazu gezwungen wird den IE zu verwenden. Ich komme seid einigen Monaten sehr gut ohne ihn aus und habe damit keine Probleme.

[Feroxx]

Klar, man muss den IE nicht verwenden. Aber viele Leute, die sich eben nicht wie "gewisse Andere" mit dem Computer als Selbstzweck beschäftigen, und sich nicht wirklich gut auskennen, haben kaum eine Chance dabei.

Ich habe ein paar Bekannte/Verwandte, die kommen mit dem PC gerade gut genug klar, um zu surfen, zu spielen und CD's zu brennen, wenn ich die nach Mozilla, Opera oder Eudora frage, kriegen die 'nen irren Blick und sagen mir, dass sie keine Designerdrogen wollen

Das Problem ist halt - wer sich nicht auskennt, benutzt halt Standartkram - und das ist immer noch IE und Outlook Express.

[Brummelchen]

Raven - und wenn sich der IE nicht kicken lässt? Ist zwar nicht so prickelnd, aber wahr.

Ich habe auch mit Netsi angefangen, weil der IE unter W95 fehlte (2.0 oder 3.0 rudimentär) - damals war Netscape halt weiter und hat Standards geprägt. Die Löcher von damals möchte ich allerdings nicht aufzählen, denn da kamen auch alle naselang Updates raus und die waren gleich immer groß, weils die FULL war. Mit Modem nicht berauschend.

Zudem möchte ich den erfahrenen Windows-benutzer sehen, wenn er keine IE, nicht mal den Ansatz dazu im System hätte. Dann würde nämlich nicht mal die Hälfte seiner Software laufen, weil viel deren eingebaute DLLs mitbenutzen.

>> Firewall, Viren- und Trojanerscanner bringen dir bei diesem Problem halt relativ wenig. Im Prinzip stehst du mit runtergelassenen Hosen da.<<

Ach, davon merke ich aber nichts hier. Meine Einstellungen im IE sind so, dass selbst der aktuelle CT-Test nichts machen kann. Und der war reichlich gefährlich (Test ohne Filter gemacht).

Ich habe die letzten Monate auch überwiegend mit Opera 6 gesurft, aber dessen Kompatibiltät fängt bei "Free" an und hört bei "net" auf. (office.freenet.de). Und Mozilla oder Phoenix mag ich nicht so, ich habe schon zwei Browser, das reicht mir. Und so wie es ausschaut, arbeitet Mozilla immer noch an Bugs und Löchern undist immer noch Beta, auch die 1.2 noch, wenn eh schon die 1.3 am Start liegt. Ne danke, den Installations-HokusPokus mache ich nicht nochmal mit - zumal ich den NIE drüberinstaliieren darf, immer nur komplett rasieren und neu drauf. Da war Opera 6 wesentlich umgänglicher.

ActiveX und VB wird eh rausgefiltert, Flash ist ok, Java muss nicht. Aber das liegt dann auch wieder an den Webdesigner - die wollen natürlich die neuesten Gimmicks nutzen und zwingen eine dazu, diesen Kram zu aktivieren. Es gehören somit immer zwei dazu.

[--RAVEN--]

Wobei Java eigentlich noch der sicherste dieser aktiven Inhalte ist. Trotzdem wird er meist eher ausgefiltert als ActiveX und Co. Verrückte Welt.

Naja, IE kicken war (zumindest für Windows-User) so gemeint, dass man ihn links liegen läßt und wirklich nur in absoluten Notfällen startet, da er sich nicht wirklich aus dem System entfernen läßt (wenn man nicht gerade Win98 lite verwendet). Ok, du bist gegen solche Angriffe gesichert. 95% der restlichen Windows-User sicher nicht.

Naja, solche Diskussionen führen eh zu nichts. Die Leute die es hören sollten erreicht man damit nicht. Und diejenigen die drauf reagieren sind sich des Risikos bewusst, bzw. mit dem Thema vertraut.

Allerdings kann ich mir einen Kommentar da nicht verkneifen: Beim IE muss man förmlich mehrere Verteidigungswälle darum herum ziehen, damit er halbwegs sicher benutztbar ist. Die anderen Browser kann man in der Regel "out of the box" ohne große Schutzaktionen sicher einsetzen. Gelegentliche Updates vorrausgesetzt.

[Brummelchen]

Raven - mit deinen "mehreren" Wällen hast du allerdings recht, der Aufwand für den IE ist relativ hoch gegenüber anderen Browsern.
Es sind die vielen kleinen Stellen, die doch nerven und andere nicht haben, vielleicht aus Erfahrung und daher besser sind. Streite ich gar niicht ab.

Wenn Mozilla 1.3 final ist, dann schau ich mir die mal an. Oder nen schlanken Phoenix.

[JensusUT]

Original geschrieben von Brummelchen
[...] von daher fand ich auch Jensus Standpunkt überheblich. Wer von euch hat denn NICHT mit Opera angefangen, sondern mit IE? hää? na wer? und wie seit ihr dahingekommen, wo ihr jetzt seit?

Häää? Kannst du mir jetzt vielleicht noch erklären, warum mein Standpunkt (welcher?) überheblich ist?
Ich poste solche Meldungen, um die Leute ein wenig auf die Probleme des IEs aufmerksam zu machen. Und wer hier mitliest, kommt vielleicht irgendwann mal auf die Idee, einen anderen Browser auszutesten...
btw: Was du hier schon an Problemen mit dem IE gepostet hast (aus dem Kopf, ohne zu suchen: Lädt langsam, kein Java, lädt Javaapplets trotzdem etc.), scheint ja auch einem erfahrenen User den Schweiss auf die Stirn zu treiben....
Aber jeder nach seiner Façon....

[Brummelchen]

Jensus - ich bezog mich hierauf:

>>Keine weiteren Kommentare
>>Ach doch: H-O

Auch wenn ich H-O nicht deuten kann...
Du hast doch auch nicht mit Opera angefangen, auch wenn du ihn wohl schon lange benutzt. Und selbst wenn es niemand zugeben mag - der IE ist im System nicht unersetzlich´. Wieviele Anwendungen nutzen den Inline-HTML-Viewer um zB Suchergebnisse in HTML anzuzeigen oder wieviele nutzen den "build-in" HTML-Editor? Von den kleinen DLLs mal ganz abgesehen. Das, was hier als IE beschrieben wird, ist lediglich , wie der "Explorer", ein Frontend.
Und du kannst mir nicht erzählen, dass du de, IE nicht benutzt - wenn auch selten. Denn soweit ist Opera/Mozilla noch nicht.

In einem magst du aber recht haben - Opera hat bei mir noch die externen Sicherheitseinstellungen unterlaufen (Java) (Opera immer ohne Java - läuft hier nicht richtig der Schrott)
Von daher nutze ich öfters Avant als Frontend, da wird Java wieder richtig gefiltert, zudem es sowieso jetzt endgültg abgeschaltet ist.

Das mit dem "langsam laden" war eine Einstellung in Atguard, also kein IE-Problem, allerdings nur durch ihn erzeugtes, weil Opera das eben anders macht, kA warum da so ist.

Ich bin auch grad wieder mit Opera unterwegs, weil er schneller und einfacher zu handhaben ist (u.a. Mausgesten). Sehe ich auch als Zugeständnis auf die Problematik mit dem IE.

[t_matze]

H-O heisst wahrscheinlich "happy opera-ting!", wie es in Jensus' Sig auch steht.

Und Brummelchen:

Und du kannst mir nicht erzählen, dass du de, IE nicht benutzt - wenn auch selten. Denn soweit ist Opera/Mozilla noch nicht.

Ich bin tatsaechlich seit einem halben Jahr ausschliesslich mit Opera unterwegs, und bin bisher noch ueberall angekommen, wohin ich wollte. Und dabei habe ich erstmals bemerkt, welche Seiten gut konstruiert sind und welche ueberfrachtet sind. Fazit: Das rote O bleibt bei mir der Standardbrowser.

[Silverbird]

Ich hab mit Internetsicherheit keine Probleme. Wer drinn ist, möge drinn sein. Ich sehe das am Up oder Download. Das kann niemand verbergen. Ein Trojaner möge auch die Firewall tunneln ? Na und ?

Er erzeugt für mich sichtbare Traffic Ein Virus mag unangenehm sein, möge er meine externe Festplatte löschen und die CD'S --- > WENN ER KANN

[---rOOts---]

Wer die C't gelesen hat weis mehr und deshalb wünsch ich mir einen sehr guten Virus für den IE zu Weihnachten.
Nur damit MS mal einen auf'n Sack kricht!

Ich kann Leute nicht verstehen die den IE Gut finden,
oder wer würde schon ein Auto kaufen ohne Schloß oder ohne
Tür.
Oder wer läßt die Wohnungstüre auf, wenn er auf die Arbeit geht?

Wenn ich könnte würd ich den IE komplett plätten!

---rOOts---

[LX-Ben]

Ich versteh die ganze Aufregung nicht, es ist mir noch nie
gelungen, den IE unter Linux zu installieren

Im Ernst, wer sich unter Windows nicht vor der Kommandozeile
fürchtet, sollte eine Parallelinstallation wagen. TechChannel
schreibt zwar zu recht, dass bei Linux-Nutzung ausserhalb
des Desktop-Bereichs 'die Lernkurve steil ansteigt', also der
Umlernaufwand, aber dafür habt ihr kaum noch etwas mit
Patches, Virenalarmen, Spyware-Abwehr zu tun.