Sicherheitslücke im Internet Explorer / Patch am Mittwoch *Update*

Supernature

Und jetzt?
Teammitglied
Kurz nach dem offiziellen Patchday letzten Dienstag wurde eine offene Schwachstelle im Internet Explorer gemeldet - durch den einfachen Besuch einer präparierten Webseite kann Schadcode auf ein System geschleust und ausgeführt werden.
Betroffen sind alle IE-Versionen, vom betagten IE 5 bis hin zur brandneuen Beta-Version 8.
Bislang liegt kein Patch vor.

Offizielle MS-Seite dazu (englisch)
Microsoft Security Advisory (961051): Vulnerability in Internet Explorer Could Allow Remote Code Execution

Weiterführende Links:
0-Day-Exploits (2): IE-Lücke betrifft auch Internet Explorer 5 und 6 - PC-WELT
heise Security - 13.12.08 - Zero-Day-Exploit für Internet Explorer breitet sich aus
Zero-Day-Exploit: Anwender des Internet Explorer gefährdet - Golem.de

Nachtrag:
Microsoft hat angekündigt, am morgigen Dienstag einen Patch zu veröffentlichen, der diese Sicherheitslücke schließt.
Microsoft Security Bulletin Advance Notification for December 2008
 
Zuletzt bearbeitet:

Norbert

Moderator
Teammitglied
Immerhin ein paar "Suggested Actions" auf jener Seite:
  • Protect Your PC
    We continue to encourage customers to follow our Protect Your PC guidance of enabling a firewall, getting software updates and installing antivirus software. Customers can learn more about these steps by visiting Protect Your PC Web site.
  • For more information about staying safe on the Internet, customers should visit Microsoft Security Central.
  • Customers who believe they have been attacked should contact their local FBI office or post their complaint on the Internet Crime Complaint Center Web site. Customers outside the U.S. should contact the national law enforcement agency in their country.
  • All customers should apply the most recent security updates released by Microsoft to help ensure that their systems are protected from attempted exploitation. Customers who have enabled Automatic Updates will automatically receive all Windows updates. For more information about security updates, visit Microsoft Security Central.
  • We recommend that customers exercise extreme caution when they accept file transfers from both known and unknown sources. For more information about how to help protect your computer while you use MSN Messenger, visit MSN Messenger Frequently Asked Questions.
  • Keep Windows Updated
  • We recommend that you do not use the Internet Explorer anymore. Use the Mozilla Firefox or the browser Opera instead and learn about their advantages.
( : Wer hätte das gedacht?! :evillaugh)
 
B

Brummelchen

Gast
Kaspersky und Norton 2009 ;) erkennen den Exploit schon, so lautete es in einem anderen
Forum. Firefox interessiert das gar nicht - und hier wird es gleich doppelte gefiltert:
entweder Script oder unescape-Schrott. Ebenso sollte Unicode-Schrott gefiltert werden,
wird am meisten für Alert-Schleifen fiesester Art benutzt.
 

weissnix

Liebenswerter Berghutzerich
# Keep Windows Updated ◄
# We recommend that you do not use the Internet Explorer anymore. Use the Mozilla Firefox or the browser Opera instead and learn about their advantages.:rofl
 

JensusUT

Senior Member
Der Thread gefällt mir :D
Aber... sonst pfeife ich immer im Walde, und das interessiert dann keinen :weg

Oleeee,ole,ole,oleeee, NAV200neuheu....heun, Oleee...
 

Grainger

Praktizierender Atheist
Opera 9.62 scheint (momentan) nicht betroffen, trotzdem ist ein Security-Update auf 9.63 erschienen.

Changelog

Wahrscheinlich besteht gar kein Zusammenhang mit der Sicherheitslücke im MSIE, trotzdem kann es nicht schaden, Opera auf den neuesten Stand zu bringen.
 
B

Brummelchen

Gast
Hier im englischen Originaltext ;)
********************************************************************
Out-of Band Microsoft Security Bulletin Advance Notification for
December 2008
Issued: December 16, 2008
********************************************************************

This is an advance notification of an out-of-band security bulletin
that Microsoft is intending to release on December 17, 2008.

The full version of the Microsoft Security Bulletin Advance
Notification for December 2008 can be found at
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx.

This bulletin advance notification will be replaced with the
revised December bulletin summary on December 17, 2008. The revised
bulletin summary will include the out-of-band security bulletin as
well as the security bulletins already released on December 9, 2008.

For more information about the bulletin advance notification service,
see
http://www.microsoft.com/technet/security/Bulletin/advance.mspx.

To receive automatic notifications whenever
Microsoft Security Bulletins are issued, subscribe to Microsoft
Technical Security Notifications on
http://www.microsoft.com/technet/security/bulletin/notify.mspx.

Microsoft will host two webcasts to address customer questions on
this out-of-band security bulletin: on December 17, 2008, at 1:00 PM
Pacific Time (US & Canada) and December 18, 2008, at 11:00 AM
Pacific Time. Register for these out-of-band Security Bulletin
Webcasts at
http://www.microsoft.com/technet/security/bulletin/summary.mspx.

Microsoft also provides information to help customers prioritize
monthly security updates with any non-security, high-priority
updates that are being released on the same day as the monthly
security updates. Please see the section, Other Information.

This advance notification provides the software subject as the
bulletin identifier, because the official Microsoft Security
Bulletin numbers are not issued until release. The bulletin summary
that replaces this advance notification will have the proper
Microsoft Security Bulletin numbers (in the MSyy-xxx format) as the
bulletin identifier. The security bulletins for this month are as
follows, in order of severity:


Critical Security Bulletin
============================

IE Bulletin

- Affected Software:
- Internet Explorer 5.01 Service Pack 4 when installed on
Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 Service Pack 1 when installed on
Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 for
Windows XP Service Pack 2 and
Windows XP Service Pack 3
- Internet Explorer 6 for
Windows XP Professional x64 Edition and
Windows XP Professional x64 Edition Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 Service Pack 1 and
Windows Server 2003 Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 x64 Edition and
Windows Server 2003 x64 Edition Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 with SP1 for Itanium-based Systems and
Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 for
Windows XP Service Pack 2 and
Windows XP Service Pack 3
- Internet Explorer 7 for
Windows XP Professional x64 Edition and
Windows XP Professional x64 Edition Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 Service Pack 1 and
Windows Server 2003 Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 x64 Edition and
Windows Server 2003 x64 Edition Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 with SP1 for Itanium-based Systems and
Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 in
Windows Vista and
Windows Vista Service Pack 1
- Internet Explorer 7 in
Windows Vista x64 Edition and
Windows Vista x64 Edition Service Pack 1
- Internet Explorer 7 in
Windows Server 2008 for 32-bit Systems
- Internet Explorer 7 in
Windows Server 2008 for x64-based Systems
- Internet Explorer 7 in
Windows Server 2008 for Itanium-based Systems

- Note for Windows Internet Explorer 8 Beta 2
This vulnerability was reported after the release of Windows
Internet Explorer 8 Beta 2. Customers running Windows Internet
Explorer 8 Beta 2 are encouraged to download and apply the
update to their systems when the bulletin is published.

- Impact: Remote Code Execution
- Version Number: 1.0
 

Norbert

Moderator
Teammitglied
B

Brummelchen

Gast
>> denn weder der 2er noch der 3er sind derzeit 100% dicht

Möchte noch jemand Steine in sein Glashaus geliefert haben, evtl Bärte und Otternasen dazu?
 

Supernature

Und jetzt?
Teammitglied
Soll ich Popcorn und Bier holen, dann können wir ein bisschen flamen :devil
Klar ist Opera viel sicherer, der kriegt ja die meisten Seiten nicht mal auf, wie soll man sich da infizieren :ätsch
 

QuHno

Außer Betrieb
Höre ich da einen Fan irgend eines Browsers leise im Keller pfeifen? :ROFLMAO:

In der Zitat-Quelle steht keine vergleichende Bewertung zur Sicherheit, aber wenn es um ungepatchte bekannte Lücken geht, kann sich ja jeder selbst ein Bild machen:

Microsoft Internet Explorer Multiple Vulnerabilities *1)
Mozilla Firefox 2 Multiple Vulnerabilities *1)
Mozilla Firefox 3 Multiple Vulnerabilities *1)
Opera Multiple Vulnerabilities *2)

Allerdings sind die dortigen Aussagen mit Vorsicht zu genießen, denn sie beziehen sich nur auf die reinen Produkte, nicht auf deren Browser Helper Objects oder Add-ons, die sich der durchschnittliche Benutzer nachträglich installiert, um den Browser die Funktionen hinzu zu fügen, die er eigentlich serienmäßig haben sollte. Des weiteren sind die Produkte nicht direkt vergleichbar, da sie teilweise in ihrer Basiskonfiguration einen stark unterschiedlichen Funktionsumfang bieten ...

*1) Browser
*2) Browser & Mail Client & News Client & IRC Client & Download Manager & Torrent Client
 
B

Brummelchen

Gast
Man könnt ja foll vies sein und behaupten:
Die einzige Seite, die Opera überhaupt richtig darstellt, wäre der ACID-Test :ROFLMAO:

Aber wäre das Internet nicht nur langweilig, wenn jede Seite diese blöden Smilie hätte?


:weg
 
Oben