[Kritikus]

F sagte:

Microsoft bestätigt die neuesten Berichte über eine (scheinbar) neue Verwundbarkeit des Internet Explorers. Die im Microsoft Security Advisory 917077 beschriebene Sicherheitslücke ermöglicht die Ausführung von beliebigem Code. Dies, laut Microsoft, allerdings "nur" im Kontext des angemeldeten Benutzers. Sind Sie also mit administrativen Rechten an Windows angemeldet, kann z. B. eine manipulierte Webseite, welche Sie mit dem Internet Explorer besuchen, beliebige Programme zur Ausführung bringen (es ist nicht mehr Ihr PC!). Ein installierter Virenscanner kann Ihnen in diesem Fall nicht helfen, weil Sie u. U. auf ein völlig neues, dem Scanner unbekanntes, Schadprogramm stoßen. Microsoft meint, Angreifer hätten keine Möglichkeit, die Lücke auszunutzen, müssten sie doch betroffene Systeme erst mal auf eine entsprechend manipulierte Seite locken. Erfahrungsgemäß gelingt dies jedoch recht einfach. Man stelle sich Werbeslogans der SEX-Seiten oder aus den Adressbüchern verschickte e-mails vor!

Wie immer zeigt sich, falls Microsoft in diesem Fall mit der Kontextbindung richtig liegt, die selbst für Privatnutzer wichtige Trennung der Benutzer(rechte), ist wichtig!

[swissboy]

@Kritikus: Quellenangabe?

Dieser Beitrag wurde von swissboy bearbeitet: 24. März 2006 - 11:18

[Rika]

Zitat

Sind Sie also mit administrativen Rechten an Windows angemeldet, kann z. B. eine manipulierte Webseite, welche Sie mit dem Internet Explorer besuchen, beliebige Programme zur Ausführung bringen (es ist nicht mehr Ihr PC!).

Auch mit Nicht-Admin-Rechten kann man alles anstellen, was der Benutzer anstellen kann. Das geht dann bis zu einem einfachen Usermode-Rootkit (siehe hierzu auch die Diskussion um Stealth vs. Non-Stealth auf der Blackhat Europe), das dann einfach wartet, bis der Benutzer irgendwann mal das Admin-Passwort eintippt - und das war's dann.

Zitat

Man stelle sich Werbeslogans der SEX-Seiten oder aus den Adressbüchern verschickte e-mails vor!

Oder ganz einfach eine bezahlte Werbeeinblendung.

[swissboy]

Webseiten infizieren Windows-PCs über Lücke im Internet Explorer

Microsoft weist in einem Update seiner Warnung zur jüngst entdeckten Lücke (createTextRange) im Internet Explorer darauf hin, dass bereits erste Webseiten über dieses Leck versuchen, PCs der Besucher mit Schadcode zu infizieren. Websense, Hersteller von Sicherheitssoftware, betätigt dies in einer eigenen Meldung, will aber bis Sonntag bereits 200 Seiten gezählt haben. Mittlerweile dürfte die Zahl weiter gestiegen sein. Auch geknackte Server sollen sich unter den Virenschleudern befinden.
...
Sofern sich kein Anstieg der Zahl infizierter Webseiten abzeichne, wolle man das Update zum geplanten Patchday am 11. April herausgeben.

Den kompletten heise online Artikel gibt es hier.

[sparkle]

Zitat (swissboy: 27.03.2006, 10:59)

Sofern sich kein Anstieg der Zahl infizierter Webseiten abzeichne, wolle man das Update zum geplanten Patchday am 11. April herausgeben.

Die lernen es nie! Jetzt ist es schon so weit gekommen dass der Fehler auf sehr vielen Seiten ausgenutzt wird und Microsoft schläft weiter selig anstatt jetzt so viel Schadensbegrenzung wie möglich zu betreiben

[swissboy]

Zitat (sparkle: 27.03.2006, 11:34)

Die lernen es nie! Jetzt ist es schon so weit gekommen dass der Fehler auf sehr vielen Seiten ausgenutzt wird und Microsoft schläft weiter selig anstatt jetzt so viel Schadensbegrenzung wie möglich zu betreiben

Wenn ein womöglich fehlerhaftes (weil ungenügend ausgestestes) Update in den Umlauf gelangen würde, wäre der Schaden wohl um ein vielfaches grösser. Das ist eine Risikoabwägung. Wenn die Bedrohung durch diese aktuelle Sicherheitslücke weiter zunehmen sollte, ist es durchaus möglich das das Update trotzdem schon vor dem 11. April veröffentlicht wird (siehe Vorgehen bei der WMV-Sicherheitslücke), er ist ja im Prinzip bereits fertig.

Dieser Beitrag wurde von swissboy bearbeitet: 27. März 2006 - 11:46

[swissboy]

Nach den IE-Exploits: Microsoft überdenkt Sicherheits-Strategie

Es lässt Microsoft keineswegs kalt, dass Hacker eine neu aufgedeckte Schwachstelle im IE derzeit massiv ausnutzen und viele Nutzer frustriert sind, weil ein Lösung für das Problem noch zwei Wochen auf sich warten lassen könnte. Der Softwaregigant grübelt bereits über seiner Sicherheits-Strategie: Sollte man die Bereitstellung von Sicherheitspatches forcieren? Updates eventuell weniger ausgiebig testen? Und was für Folgen hätten derartige Maßnahmen?

Den kompletten PC-Welt Artikel gibt es hier.


Inzwischen gibt es dazu auch eine News auf der Frontseite.

Dieser Beitrag wurde von swissboy bearbeitet: 29. März 2006 - 13:49

[nim]

wozu schreib ick den mift noch auf die frontseite... ach stimmt ja, ich habs ja "vergessen", weil die kommt ja satte anderthalb stunden nach idg...

Dieser Beitrag wurde von nim bearbeitet: 29. März 2006 - 13:08

[swissboy]

Zitat (h0nk: 29.03.2006, 14:15)

Wieso kann man solche Patches nicht vorher als optionale Downloads anbieten (für jene die undbedingt außerhalb des Patchdays patchen wollen) und zum Patchday die dann zwangsweise installieren lassen?

Lies den vollständigen PC-Welt Artikel, dort ist das mit der Qualitäts- und Testproblematik erklärt.

Dieser Beitrag wurde von swissboy bearbeitet: 29. März 2006 - 13:34

[swissboy]

Zitat (h0nk: 29.03.2006, 14:39)

Es dauert nie mal 5 Tage. Sondern (als Beispiel) 2 Wochen. DAS ist es was ich kritisiere und mit einer Vorveröffendlichung meine.

Beim Update für die WMV-Sicherheitslücke war z.B. die Testphase recht kurz (bin jetzt zu faul um nachzuforschen wieviele Tage genau es waren) und er wurde auch ausserhalb (vor) dem Patch-Day veröffentlicht, eben halt sobald die Tests erfolgreich abgeschlossen waren.

[sparkle]

Ja...
und was spricht jetzt dagegen das immer zu machen?

[swissboy]

Zitat (sparkle: 29.03.2006, 14:48)

und was spricht jetzt dagegen das immer zu machen?

Immer sowieso nicht, das würde den Patch-Day absurdum führen der ja gerade auf Kundenwunsch eingeführt wurde damit man sich nur einmal im Monat mit der Systemaktualisierunge herumschlagen muss.
Bei sehr dringenden Sicherheitslücken (wenn ein Exploit bereits im Umlauf ist), ist es eine Risikoabwägung, wie ich dir in Beitrag #13 schon erkärt habe. Im Falle der WMV-Sicherheitslücke hat dies zu einer vorzeitigen Veröffentlichung des Upades geführt, möglicherweise geschieht das ja auch noch bei der Sicherheitslücke um die es in diesem Thread geht. Wenn aber keine Exploits im Umlauf sind besteht auch kein Grund dazu.

[sparkle]

So und wer sagt dass von einer Minute auf die nächste nich schon Exploits existieren und Rechner "befallen" werden? Jeder verseuchte Rechner ist einer zu viel!

Aber mit dir über Microsoft zu diskutieren macht ja eh keinen Sinn. Du hast gewonnen, ich gebe auf.

Dieser Beitrag wurde von sparkle bearbeitet: 29. März 2006 - 14:09

[swissboy]

Zitat (h0nk: 29.03.2006, 15:13)

Kundenwunsch von wem? Dem Privatanwender? Wach auf swissboy. Der Wunsch kam eher von den Systemadministratoren im geschäftlichen Bereich. Man könnte es wie in meinem 16. Beitrag handhaben. Dann würden die Privatanwender, die ihr System immer aktuell halten wollen, eher versorgt und der Rest eben halt erst am Patchday.

Es ist sicher auch der Wunsch der ganz normalen Anwenders, nicht alles sind so Freaks wie die hier auf WinFuture.
Ein Vorveröffentlichung (auch nicht ein optionale) für Privatanwender geht nicht, gerade nicht bei Sicherheitsupdates. Es ist bekannt das bei vielen Sicherheitsupdates kurz nach deren Veröffentlichung Exploits dazu auftauchen da damit auch Details dazu bekannt werden. Damit würden alle anderen Anwender einer extremen Gefährdung ausgesetzt. Das wäre ein Schuss ein's eigene Knie. Entweder alle oder keiner.

Zitat (h0nk: 29.03.2006, 15:13)

Soll ich lachen, es gibt 200 präperierte Seiten und du behauptest das keine Exploids im Umlauf sind?

200 Seiten sind auf das ganze Internet bezogen nicht viel und Microsoft ist darum bemüht diese Seiten vom Netz zu nehmen. Wie schon mehrfach gesagt: Risikoabwägung.

Dieser Beitrag wurde von swissboy bearbeitet: 29. März 2006 - 14:32

[swissboy]

Zitat (h0nk: 29.03.2006, 16:05)

Das kann dir auch nach dem regulären Patchday passieren.

Klar, aber wer nach dem regulären Patch-Day sein System nicht aktualisiert hat ist nun wirlich selber Schuld.

Zitat (h0nk: 29.03.2006, 16:05)

Zuvor hier es, dass es keine Exploids gäbe. Was denn nun swissboy. Gibt es welche oder gibt es keine?

Ich hätte mich präziser ausdrücken müssen: "Exploits in erheblichem Ausmass"

Zitat (h0nk: 29.03.2006, 16:05)

Eine Sicherheitslücke stellt immer ein Risiko dar.

Klar, aber das Risiko durch einen ungenügend ausgetestetes Update kann wesentlich grösser sein, womit wir wieder bei der Risikoabwägnung wären.

Zitat (h0nk: 29.03.2006, 16:05)

Wie du evtl. erkennst sehe ich keinen wirklich effektiven Sinn von einem Patchday. Aber gut.

Das kann ich sehr gut erkennen, aber ich teile diese Meinung nicht. Ich halte den Patch-Day für eine wirklich sinnvolle Sache.

Zitat (h0nk: 29.03.2006, 16:05)

Lassen wir es lieber so im Raum stehen.

In diesem Punkt kann ich dir zustimmen!

Dieser Beitrag wurde von swissboy bearbeitet: 29. März 2006 - 15:18