Sicherheitswarnung! Lücke in IE6, IE7 und IE8 ermöglicht Einschleusen beliebigen Schadcodes
Ottmar Freudenberger
F'up2 microsoft.public.de.security.heimanwender gesetzt,
evtl. Antworten hierauf erscheinen ausschlie�lich in der
Newsgroup microsoft.public.de.security.heimanwender]
Der ein oder andere wird es bereits mitbekommen haben:
In den Internet Explorer-Versionen IE6, IE7 und IE8 existiert eine neu
bekannt gewordene Sicherheitsl�cke, �ber die sich beliebiger Schadcode
auf Systeme laden und ausf�hren lassen. Dabei reicht u.U. bereits der
Besuch einer "b�sen" Webs(e)ite bzw. das Nachladen von Inhalten von einer
solchen S(e)ite.
Insbesondere Anwender des IE6 unter Windows 2000 sowie der in Windows XP
standardm��ig enthaltenen IE6-Version, sind nach derzeitigem Stand von
dieser Sicherheitsl�cke betroffen. Grunds�tzlich anf�llig sind allerdings
auch IE7 und IE8 unter allen Windows-Versionen, wobei es hier Unterschiede
bzgl. der Einfachheit der Ausnutzbarkeit der Sicherheitsl�cke geben kann.
Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
Kurzfassung der Empfehlung von Microsoft:
DEP (Data Execution Prevention / Datenausf�hrungsverhinderung) f�r den
IE aktivieren (bzw. aktiviert belassen), wo dies m�glich ist (ist unter
Windows 2000 nicht m�glich). Zus�tzlich in den Internetoptionen unter
"Sicherheit" die Sicherheitsstufe f�r die "Internet"-Zone auf "hoch"
setzen bzw. zumindest ActiveScripting deaktivieren.
Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
Browser (z.B. Mozilla Firefox oder Opera) an:
https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
Weitere Informationen habe ich auf meiner kleinen Site versucht zusammen-
zufassen: http://patch-info.de/artikel/2010/01/15/757
Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches f�r Windows 7 und WinXP: http://patch-info.de
Gabriele Neukam
On this special day, Ottmar Freudenberger wrote:
> Zusï¿œtzlich in den Internetoptionen unter
> "Sicherheit" die Sicherheitsstufe fï¿œr die "Internet"-Zone auf "hoch"
> setzen bzw. zumindest ActiveScripting deaktivieren
Besser noch: einen *anderen* Browser verwenden. Der Exploit ist jetzt
im Quelltext verfï¿œgbar, d.h. selbst blutige Anfï¿œnger (sogenannte Skript
Kiddies) kï¿œnnen ihn fï¿œr eigene Zwecke missbrauchen.
Gabriele Neukam
--
Reality is something, people cannot cope with.
If they could, they would not play.
Ottmar Freudenberger
> On this special day, Ottmar Freudenberger wrote:
>
>> "Sicherheit" die Sicherheitsstufe f�r die "Internet"-Zone auf "hoch"
>> setzen bzw. zumindest ActiveScripting deaktivieren
>
> Besser noch: einen *anderen* Browser verwenden.
Liebelein, Du quotemarderst gerne, nicht wahr? Das obige entstammt der
Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
auch tats�chlich das Ausnutzen der L�cke unterbindet.
Ich beliebte in meinem Posting fortzufahren:
| Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
| r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
| Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
| Browser (z.B. Mozilla Firefox oder Opera) an:
| https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
Reichte Deine Aufmerksamkeit wirklich nicht soweit?
> Der Exploit ist jetzt
> im Quelltext verf�gbar, d.h. selbst blutige Anf�nger (sogenannte Skript
> Kiddies) k�nnen ihn f�r eigene Zwecke missbrauchen.
Ach was?
| Weitere Informationen habe ich auf meiner kleinen Site versucht zusammen-
| zufassen: http://patch-info.de/artikel/2010/01/15/757
Und dort findest seit heute Morgen gegen 7 Uhr u.a. auch den [Update]-
Hinweis, dass der Exploit mittlerweile �ffentlich verf�gbar ist.
Mitteilungsbed�rftig?
Hans-Peter Matthess
> Liebelein, Du quotemarderst gerne, nicht wahr?
Darunter versteht man das Ver�ndern eines Zitates. Ich kann kein
Quotemardern erkennen.
> Das obige entstammt der
> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
> auch tats�chlich das Ausnutzen der L�cke unterbindet.
Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
Usenet �blicherweise mit "|".
> Ich beliebte in meinem Bosting fortzufahren:
Sorry, das war jetzt von mir gequotemardert. ;-)
>| Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
>| r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
>| Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
>| Browser (z.B. Mozilla Firefox oder Opera) an:
>| https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
Da hat es dann pl�tzlich mit der Kennzeichnung geklappt. Geht doch. :-�
hpm
Ottmar Freudenberger
> Ottmar Freudenberger:
>
>> Liebelein, Du quotemarderst gerne, nicht wahr?
>
> Darunter versteht man das Ver�ndern eines Zitates. Ich kann kein
> Quotemardern erkennen.
Das Du nicht mehr viel erkennst, ist bekannt.
>> Das obige entstammt der
>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>> auch tats�chlich das Ausnutzen der L�cke unterbindet.
>
> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
> Usenet �blicherweise mit "|".
Auch Du hast also das Ausgangsposting nicht gelesen. Hauptsache, mal
wieder gequackt, nicht wahr, hpm? Jetzt bist Du gerade aus meinem Kill-
filter gefallen und schon bist Du wieder drin. Diesmal darfst Du Dich
ein halbes Jahr mit Deinem Ges�lze besser f�hlen, ohne dass Du von mir
Widerspruch zu dem seit geraumer Zeit weitgehend faktenbefreiten Ge-
schreibsel Deinerseits ernten wirst. Du brauchst das wohl f�r Dein Ego.
Gute Genesung,
Charlie
> Ottmar Freudenberger:
>> Liebelein, Du quotemarderst gerne, nicht wahr?
> Darunter versteht man das Ver�ndern eines Zitates.
Nein, das w�re dann n�mlich eine Zitatf�lschung. Unter Quotemardern
versteht man eher sinnentstellendes Quoting durch zu gro�z�gige Auslassung.
von Zitaten.
> Ich kann kein Quotemardern erkennen.
Dazu hatte Freudi ja bereits treffend geantwortet.
>> Das obige entstammt der
>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>> auch tats�chlich das Ausnutzen der L�cke unterbindet.
> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
> Usenet �blicherweise mit "|".
Ja, wenn es denn ein echtes Zitat ist und keine Zusammenfassung in
Kurzform, so wie bei Freudi.
Hans-Peter Matthess
> Auch Du hast also das Ausgangsposting nicht gelesen.
Doch, hatte ich.
> Hauptsache, mal
> wieder gequackt, nicht wahr, hpm? Jetzt bist Du gerade aus meinem Kill-
> filter gefallen und schon bist Du wieder drin. Diesmal darfst Du Dich
> ein halbes Jahr mit Deinem Ges�lze besser f�hlen, ohne dass Du von mir
> Widerspruch zu dem seit geraumer Zeit weitgehend faktenbefreiten Ge-
> schreibsel Deinerseits ernten wirst. Du brauchst das wohl f�r Dein Ego.
Als Hobbypsych taugst du nicht viel. Mein Ego braucht keinerlei
Geschreibsel. Sofern ich irgendwo faktenbefreit (;-) schreiben sollte,
dann nicht wegen meines Egos.
Deine Antworten auf Gabriele sowie auf mich sind mal wieder seltsam
d�nnh�utig und unentspannt. Was immer dir in letzter Zeit zu schaffen
macht, ich w�nsche dir auf jeden Fall dein inneres Gleichgewicht zur�ck.
;-)
hpm
Hans-Peter Matthess
>> Darunter versteht man das Ver�ndern eines Zitates.
> Nein, das w�re dann n�mlich eine Zitatf�lschung.
Papperlapapp. Auch das f�llt allgemein unter "quotemardern". Siehe die
diversen Usenet-FAQs.
> Unter Quotemardern
> versteht man eher sinnentstellendes Quoting durch zu gro�z�gige Auslassung.
> von Zitaten.
Auch das, und ich sehe in dem Falle weder eine Sinnentstellung noch eine
�nderung. Es wurde ein Teil korrekt zitiert, zu dem man etwas antworten
wollte. Sofern jemand Ged�chtnisprobleme wegen eines zu kurzen
Zitatausschnitts haben sollte, kann er sich problemlos im OP bedienen.
Die Anmerkung war freilich �berfl�ssig, weil sie in seinem Artikel schon
erw�hnt wurde.
>> Ich kann kein Quotemardern erkennen.
> Dazu hatte Freudi ja bereits treffend geantwortet.
Geantwortet hat er, ja.
>>> Das obige entstammt der
>>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>>> auch tats�chlich das Ausnutzen der L�cke unterbindet.
>> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
>> Usenet �blicherweise mit "|".
> Ja, wenn es denn ein echtes Zitat ist und keine Zusammenfassung in
> Kurzform, so wie bei Freudi.
Ich kenne diese MS-Empfehlung nicht im genauen Wortlaut und wei� nicht,
welche Versionen davon im Umlauf sind. Wenn es seine freie Formulierung
war, OK, dann war das w�rtliche Zitat daraus allerdings immer noch nicht
sinnentstellend oder gequotemardert. Mir zumindest war der Sinn sofort
klar.
hpm
Ottmar Freudenberger
> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.
Ein konkretes Freigabedatum f�r dieses Update soll "heute" (US-Zeit) mitge-
teilt werden:
http://blogs.technet.com/msrc/archive/2010/01/19/security-advisory-979352-going-out-of-band.aspx
Ottmar Freudenberger
> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>
>> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
>> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
>> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
>> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
>
> Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
> also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
> Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.
Das Datum wurde bekanntgegeben: 21.01.2010, also morgen, gegen 19 Uhr MEZ.
Zudem wurde das (englischsprachige Original) Security Advisory den aktuellen
Erkenntnissen angepasst. Nachzulesen unter
http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx
Ottmar Freudenberger
> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>>
>>> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
>>> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
>>> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
>>> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
>>
>> Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
>> also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
>> Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.
>
> Das Datum wurde bekanntgegeben: 21.01.2010, also morgen, gegen 19 Uhr MEZ.
> Zudem wurde das (englischsprachige Original) Security Advisory den aktuellen
> Erkenntnissen angepasst. Nachzulesen unter
> http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx
Das Kumulative Sicherheitsupdate KB978207 (MS10-002) f�r alle unterst�tzten
IE-Versionen unter allen unterst�tzten Windows-Versionen ist bereits im
DownloadCenter von Microsoft zum manuellen Download zu finden und wird in
wenigen Minuten auch �ber Windows/Auto Update angeboten.