Sicherheitsluecke in Internet Explorer gefaehrdet Windows-Systeme
Ottmar Freudenberger
(evtl. Antworten auf dieses Posting sollten in der o.g. Newsgroup
landen)
Es wurde einmal mehr eine Sicherheitslücke im Internet Explorer entdeckt
und veröffentlicht, welche das Ausführen beliebigen Schadcodes ermöglicht.
Dazu genügt bereits der Besuch einer entsprechend präparierten Web-Seite,
insofern ActiveScripting nicht deaktiviert ist.
Betroffen von dieser Lücke sind grundsätzlich *alle* Versionen des IE
auf *allen* Windows-Versionen. Unter Windows Vista und Server 2008 sowie
Windows Server 2003 lässt sich die Lücke im "Geschützten" bzw. "Einge-
schränkten Modus" des IE nicht bzw. schwerer ausnutzen.
Microsoft hat zwischenzeitlich ein Security Advisory veröffentlicht, das
auf diese Lücke sowie mögliche Workarounds hinweist, die bis zu Veröffent-
lichung eines Updates angewandt werden können/sollten, das diese Sicher-
heitslücke schließt:
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/961051.mspx
bzw. aktueller das englischsprachige Original
http://www.microsoft.com/technet/security/advisory/961051.mspx
Siehe auch http://patch-info.de/artikel/2008/12/10/596 speziell für
Windows XP und Windows 2000.
Auch wenn die Lücke derzeit anscheiend noch nicht intensiv ausgenutzt
wird, ist nach der Veröffentlichung der Details zu dieser Lücke davon
auszugehen, dass sich dies in näherer Zukunft ändern wird. Daher sollten
die entsprechenden Workarounds ergriffen werden bzw. über den zumindest
temporären Einsatz eines alternativen Browsers in Erwägung gezogen werden.
Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches für IE, OE und WinXP: http://patch-info.de
Ottmar Freudenberger
Christoph Schneegans
>> Es wurde einmal mehr eine Sicherheitslücke im Internet Explorer
>> entdeckt und veröffentlicht, welche das Ausführen beliebigen
>> Schadcodes ermöglicht. Dazu genügt bereits der Besuch einer
>> entsprechend präparierten Web-Seite, insofern ActiveScripting nicht
>> deaktiviert ist.
>
> Danke für Deinen wichtigen Hinweis, "Freudi". Nur: Wird dadurch
> nicht fast jeder WWW-Besuch pder IE 7 eine Zeitreise ins
> DOS-Alter?
Man kann sich auch heute noch sehr gut ohne JavaScript durchs Web
bewegen, ich mache das grundsätzlich so. Einige Websites funktionieren
dann nicht mehr, aber es gibt ja praktisch immer Alternativen.
Angesichst der Tatsache, daß praktisch jeder Exploit der letzten
Dekade in irgendeiner Form auf Scripting angewiesen war, ist es
unverantwortlich von Anbietern, JavaScript vorauszusetzen, und grob
fahrlässig von Nutzern, JavaScript zuzulassen.
Das BSI predigt genau das schon seit vielen Jahren, vgl.
<http://www.bsi.de/fachthem/sinet/gefahr/aktiveinhalte/index.htm>.
--
<http://schneegans.de/web/xhtml/> · Klare Antworten zu XHTML
Gabriele Neukam
On this special day, Ottmar Freudenberger wrote:
> Auch wenn die Lücke derzeit anscheiend noch nicht intensiv ausgenutzt
> wird,
Ich bin mir nicht ganz so sicher darüber, nachdem ich Message-ID:
<xzp0l.6674$hc1....@flpi150.ffdc.sbc.com> gelesen habe. Es kann sein
dass es eine andere Methode war; aber was das Microsoft Advisory sagt
(Crash bei dem sich der IE schließt), passt von den Symptomen her
unangenehm gut.
Gabriele Neukam
--
No I am not a troll. Just a beginner and lazy!!!!!!!!!!!
(leepeach in alt.comp.virus, asked why (s)he was repeatedly asking the
same question)
Ottmar Freudenberger
> Gabriele Marmer schrieb:
>
>>> Es wurde einmal mehr eine Sicherheitslücke im Internet Explorer
>>> entdeckt und veröffentlicht, welche das Ausführen beliebigen
>>> Schadcodes ermöglicht. Dazu genügt bereits der Besuch einer
>>> entsprechend präparierten Web-Seite, insofern ActiveScripting nicht
>>> deaktiviert ist.
>>
>> Danke für Deinen wichtigen Hinweis, "Freudi". Nur: Wird dadurch
>> nicht fast jeder WWW-Besuch pder IE 7 eine Zeitreise ins
>> DOS-Alter?
>
> Man kann sich auch heute noch sehr gut ohne JavaScript durchs Web
> bewegen, ich mache das grundsätzlich so. Einige Websites funktionieren
> dann nicht mehr, aber es gibt ja praktisch immer Alternativen.
> Angesichst der Tatsache, daß praktisch jeder Exploit der letzten
> Dekade in irgendeiner Form auf Scripting angewiesen war, ist es
> unverantwortlich von Anbietern, JavaScript vorauszusetzen, und grob
> fahrlässig von Nutzern, JavaScript zuzulassen.
ACK - aber andereseits ist das "Web 2.0" doch "sooo geil!!ELF!"
Du hast übrigens einem -äh- Troll geantwortet.
Ottmar Freudenberger
> On this special day, Ottmar Freudenberger wrote:
>
>> Auch wenn die Lücke derzeit anscheiend noch nicht intensiv ausgenutzt
>> wird,
>
> Ich bin mir nicht ganz so sicher darüber, nachdem ich Message-ID:
> <xzp0l.6674$hc1....@flpi150.ffdc.sbc.com> gelesen habe.
Och, dann hast Du womöglich nur nicht mitbekommen, dass jener Poster
dort augenscheinlich (den Headern seines Postings nach zu urteilen)
keine Finalversion des SP3 für Windows XP, sondern stattdessen den
"RC2 Refresh" mit Buildnummer 5508 installiert hat - und damit auch
keinerlei für die Finalversion des SP3 (Buildnummer 5512) erschienenen
Sicherheitsupdates installieren *kann*. Damit kommen viele weitere
potenzielle Ursachen für den Malware-Befall infrage.
Christoph Schneegans
>> Angesichst der Tatsache, daß praktisch jeder Exploit der letzten
>> Dekade in irgendeiner Form auf Scripting angewiesen war, ist es
>> unverantwortlich von Anbietern, JavaScript vorauszusetzen, und
>> grob fahrlässig von Nutzern, JavaScript zuzulassen.
>
> ACK - aber andereseits ist das "Web 2.0" doch "sooo geil!!ELF!"
Dafür gibt es doch Firewalls. Oder Symandreck.
> Du hast übrigens einem -äh- Troll geantwortet.
Auch Trolle können manchmal nützlich sein.
Charlie
> Man kann sich auch heute noch sehr gut ohne JavaScript durchs Web
> bewegen, ich mache das grundsätzlich so. Einige Websites funktionieren
> dann nicht mehr, aber es gibt ja praktisch immer Alternativen.
Full ACK.
> Angesichst der Tatsache, daß praktisch jeder Exploit der letzten
> Dekade in irgendeiner Form auf Scripting angewiesen war, ist es
> unverantwortlich von Anbietern, JavaScript vorauszusetzen,
Full ACK again. Und dennoch gibt es nach wie vor sogar *Banken*, die
akiviertes JS für die Funktionalität ihres Internetbanking zwingend
voraussetzen. Ein abschreckendes Beispiel dafür ist die DKB
<http://www.dkb.de/>, deren Konto DKB-Cash zudem noch ein reines
Online-Konto ist.
> und grob fahrlässig von Nutzern, JavaScript zuzulassen.
So isses, wie diese aktuelle Lücke mal wieder eindrucksvoll bestätigt.
> Das BSI predigt genau das schon seit vielen Jahren, vgl.
> <http://www.bsi.de/fachthem/sinet/gefahr/aktiveinhalte/index.htm>.
Tja... wenn die zuständigen Webschmierfinken das lesen - und vor allem auch
verstehen! - würden... und *gerade* bei einer Bank mit Schwerpunkt auf dem
Online-Geschäft sollte man doch eigentlich davon ausgehen können, daß die
über entsprechend qualifiziertes Personal verfügen... jedenfalls zumindest
mal in der Theorie.
Bert
--
Der Unterschied zwischen Theorie und Praxis
ist in der Praxis meist größer als in der Theorie
Christoph Schneegans
>> und grob fahrlässig von Nutzern, JavaScript zuzulassen.
>
> So isses, wie diese aktuelle Lücke mal wieder eindrucksvoll
> bestätigt.
Aber <http://www.heise.de/security/news/meldung/120388> hat gerade
beschlossen, daß das Abschalten von JavaScript "wenig praxistauglich"
ist. Na also, da darf der gemeine Webdesigner weiterhin Seiten
bauen, die nur mit JavaScript funktionieren.
--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs
Ottmar Freudenberger
> Microsoft hat zwischenzeitlich ein Security Advisory veröffentlicht, das
> auf diese Lücke sowie mögliche Workarounds hinweist, die bis zu Veröffent-
> lichung eines Updates angewandt werden können/sollten, das diese Sicher-
> heitslücke schließt:
> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/961051.mspx
> bzw. aktueller das englischsprachige Original
> http://www.microsoft.com/technet/security/advisory/961051.mspx
>
> Siehe auch http://patch-info.de/artikel/2008/12/10/596 speziell für
> Windows XP und Windows 2000.
Zwischenzeitlich sind einige Workarounds bekannt geworden, welche die Lücke
nicht beheben, aber die Auswirkungen mindern können. U.a. biete ich
mittlerweile eine REG-Datei (MS-Advisory-961051.zip bzw.
MS-Advisory-961051.reg) zum Download an, welche ActiveScripting und ActiveX
für die Internet und Lokales Intranet-Zone deaktiviert, sowie die als
Einfalltor im IE dienende "XML Island"-Funktion der msxml3.dll entfernt.
FWIW,
Freudi
--
X-Deppeninterface-used: yes
Kai Schaetzl
http://iefaq.info/index.php?action=artikel&cat=3&id=131&artlang=de
Kai
--
Infos zum IE: http://iefaq.info & http://ie6.winware.org
Infos zu Windows und OE: http://www.mvps.org & http://oe-faq.de
Infos über Updates: http://patch-info.de
Ottmar Freudenberger
(Evtl. Antworten auf dieses Posting gehen ausschließlich in die o.g.
Newsgroup)
"Kai Schaetzl" <k...@mvps.org.invalid> schrieb:
> Out-of-band patch für Sicherheitsproblem KB 961051
> http://iefaq.info/index.php?action=artikel&cat=3&id=131&artlang=de
Yup, bzw.
http://blogs.technet.com/msrc/archive/2008/12/16/advance-notification-for-december-2008-out-of-band-release.aspx
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx
oder auch http://patch-info.de/artikel/2008/12/10/596
In anderen Worten, am heutigen Mittwoch, 17.12.2008, plant MS die
Veröffentlichung von Sicherheitsupdates für die jeweilige Internet
Explorer-Versionen, also außerhalb des üblichen Patchday-Rhythmusses
(zweiter Dienstag im Monat).
Das/die Update/s wird/werden gegen 19 Uhr MEZ über üblichen Verteilungs-
wege (Auto Update, Windows/Microsoft Update) zur Verfügung stehen.