Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Sicherheitswarnung! Lücke in IE6, IE7 und IE8 ermöglicht Einschleusen beliebigen Schadcodes

8 views
Skip to first unread message

Ottmar Freudenberger

unread,
Jan 16, 2010, 1:54:48 AM1/16/10
to
[Man m�ge mir den Crosspost verzeihen.
F'up2 microsoft.public.de.security.heimanwender gesetzt,
evtl. Antworten hierauf erscheinen ausschlie�lich in der
Newsgroup microsoft.public.de.security.heimanwender]

Der ein oder andere wird es bereits mitbekommen haben:
In den Internet Explorer-Versionen IE6, IE7 und IE8 existiert eine neu
bekannt gewordene Sicherheitsl�cke, �ber die sich beliebiger Schadcode
auf Systeme laden und ausf�hren lassen. Dabei reicht u.U. bereits der
Besuch einer "b�sen" Webs(e)ite bzw. das Nachladen von Inhalten von einer
solchen S(e)ite.

Insbesondere Anwender des IE6 unter Windows 2000 sowie der in Windows XP
standardm��ig enthaltenen IE6-Version, sind nach derzeitigem Stand von
dieser Sicherheitsl�cke betroffen. Grunds�tzlich anf�llig sind allerdings
auch IE7 und IE8 unter allen Windows-Versionen, wobei es hier Unterschiede
bzgl. der Einfachheit der Ausnutzbarkeit der Sicherheitsl�cke geben kann.

Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx

Kurzfassung der Empfehlung von Microsoft:
DEP (Data Execution Prevention / Datenausf�hrungsverhinderung) f�r den
IE aktivieren (bzw. aktiviert belassen), wo dies m�glich ist (ist unter
Windows 2000 nicht m�glich). Zus�tzlich in den Internetoptionen unter
"Sicherheit" die Sicherheitsstufe f�r die "Internet"-Zone auf "hoch"
setzen bzw. zumindest ActiveScripting deaktivieren.

Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
Browser (z.B. Mozilla Firefox oder Opera) an:
https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html

Weitere Informationen habe ich auf meiner kleinen Site versucht zusammen-
zufassen: http://patch-info.de/artikel/2010/01/15/757

Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches f�r Windows 7 und WinXP: http://patch-info.de

Gabriele Neukam

unread,
Jan 16, 2010, 12:06:59 PM1/16/10
to

On this special day, Ottmar Freudenberger wrote:

> Zusï¿œtzlich in den Internetoptionen unter
> "Sicherheit" die Sicherheitsstufe fï¿œr die "Internet"-Zone auf "hoch"


> setzen bzw. zumindest ActiveScripting deaktivieren

Besser noch: einen *anderen* Browser verwenden. Der Exploit ist jetzt
im Quelltext verfï¿œgbar, d.h. selbst blutige Anfï¿œnger (sogenannte Skript
Kiddies) kï¿œnnen ihn fï¿œr eigene Zwecke missbrauchen.

http://www.heise.de/newsticker/meldung/Exploit-fuer-IE-Sicherheitsluecke-jetzt-oeffentlich-906143.html


Gabriele Neukam

Gabriele.Spam...@t-online.de

--
Reality is something, people cannot cope with.
If they could, they would not play.


Ottmar Freudenberger

unread,
Jan 16, 2010, 12:31:11 PM1/16/10
to
"Gabriele Neukam" <Gabriele.Spam...@t-online.de> schrieb:

> On this special day, Ottmar Freudenberger wrote:
>
>> Zus�tzlich in den Internetoptionen unter
>> "Sicherheit" die Sicherheitsstufe f�r die "Internet"-Zone auf "hoch"

>> setzen bzw. zumindest ActiveScripting deaktivieren
>
> Besser noch: einen *anderen* Browser verwenden.

Liebelein, Du quotemarderst gerne, nicht wahr? Das obige entstammt der
Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
auch tats�chlich das Ausnutzen der L�cke unterbindet.

Ich beliebte in meinem Posting fortzufahren:


| Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
| r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
| Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
| Browser (z.B. Mozilla Firefox oder Opera) an:
| https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html

Reichte Deine Aufmerksamkeit wirklich nicht soweit?

> Der Exploit ist jetzt
> im Quelltext verf�gbar, d.h. selbst blutige Anf�nger (sogenannte Skript
> Kiddies) k�nnen ihn f�r eigene Zwecke missbrauchen.

Ach was?

| Weitere Informationen habe ich auf meiner kleinen Site versucht zusammen-
| zufassen: http://patch-info.de/artikel/2010/01/15/757

Und dort findest seit heute Morgen gegen 7 Uhr u.a. auch den [Update]-
Hinweis, dass der Exploit mittlerweile �ffentlich verf�gbar ist.

Mitteilungsbed�rftig?

Hans-Peter Matthess

unread,
Jan 16, 2010, 1:07:05 PM1/16/10
to
Ottmar Freudenberger:

> Liebelein, Du quotemarderst gerne, nicht wahr?

Darunter versteht man das Ver�ndern eines Zitates. Ich kann kein
Quotemardern erkennen.

> Das obige entstammt der
> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
> auch tats�chlich das Ausnutzen der L�cke unterbindet.

Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
Usenet �blicherweise mit "|".

> Ich beliebte in meinem Bosting fortzufahren:

Sorry, das war jetzt von mir gequotemardert. ;-)

>| Das (deutsche) Bundesamt f�r Sicherheit in der Informationstechnik (BSI)
>| r�t in einer Pressemitteilung derzeit generell von der Benutzung jeglicher
>| Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer
>| Browser (z.B. Mozilla Firefox oder Opera) an:
>| https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html

Da hat es dann pl�tzlich mit der Kennzeichnung geklappt. Geht doch. :-�

hpm

Ottmar Freudenberger

unread,
Jan 16, 2010, 2:08:13 PM1/16/10
to
"Hans-Peter Matthess" <hp...@t-online.de> schrieb:

> Ottmar Freudenberger:
>
>> Liebelein, Du quotemarderst gerne, nicht wahr?
>
> Darunter versteht man das Ver�ndern eines Zitates. Ich kann kein
> Quotemardern erkennen.

Das Du nicht mehr viel erkennst, ist bekannt.

>> Das obige entstammt der
>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>> auch tats�chlich das Ausnutzen der L�cke unterbindet.
>
> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
> Usenet �blicherweise mit "|".

Auch Du hast also das Ausgangsposting nicht gelesen. Hauptsache, mal
wieder gequackt, nicht wahr, hpm? Jetzt bist Du gerade aus meinem Kill-
filter gefallen und schon bist Du wieder drin. Diesmal darfst Du Dich
ein halbes Jahr mit Deinem Ges�lze besser f�hlen, ohne dass Du von mir
Widerspruch zu dem seit geraumer Zeit weitgehend faktenbefreiten Ge-
schreibsel Deinerseits ernten wirst. Du brauchst das wohl f�r Dein Ego.

Gute Genesung,

Charlie

unread,
Jan 16, 2010, 4:04:06 PM1/16/10
to
Heute um 19:07 Uhr stammelte Hans-Peter Matthess <hp...@t-online.de>:
> Ottmar Freudenberger:

>> Liebelein, Du quotemarderst gerne, nicht wahr?

> Darunter versteht man das Ver�ndern eines Zitates.

Nein, das w�re dann n�mlich eine Zitatf�lschung. Unter Quotemardern
versteht man eher sinnentstellendes Quoting durch zu gro�z�gige Auslassung.
von Zitaten.

> Ich kann kein Quotemardern erkennen.

Dazu hatte Freudi ja bereits treffend geantwortet.

>> Das obige entstammt der
>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>> auch tats�chlich das Ausnutzen der L�cke unterbindet.

> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
> Usenet �blicherweise mit "|".

Ja, wenn es denn ein echtes Zitat ist und keine Zusammenfassung in
Kurzform, so wie bei Freudi.

Hans-Peter Matthess

unread,
Jan 16, 2010, 6:51:25 PM1/16/10
to
Ottmar Freudenberger:

> Auch Du hast also das Ausgangsposting nicht gelesen.

Doch, hatte ich.

> Hauptsache, mal
> wieder gequackt, nicht wahr, hpm? Jetzt bist Du gerade aus meinem Kill-
> filter gefallen und schon bist Du wieder drin. Diesmal darfst Du Dich
> ein halbes Jahr mit Deinem Ges�lze besser f�hlen, ohne dass Du von mir
> Widerspruch zu dem seit geraumer Zeit weitgehend faktenbefreiten Ge-
> schreibsel Deinerseits ernten wirst. Du brauchst das wohl f�r Dein Ego.

Als Hobbypsych taugst du nicht viel. Mein Ego braucht keinerlei
Geschreibsel. Sofern ich irgendwo faktenbefreit (;-) schreiben sollte,
dann nicht wegen meines Egos.
Deine Antworten auf Gabriele sowie auf mich sind mal wieder seltsam
d�nnh�utig und unentspannt. Was immer dir in letzter Zeit zu schaffen
macht, ich w�nsche dir auf jeden Fall dein inneres Gleichgewicht zur�ck.
;-)

hpm

Hans-Peter Matthess

unread,
Jan 16, 2010, 6:51:25 PM1/16/10
to
Charlie:

>> Darunter versteht man das Ver�ndern eines Zitates.

> Nein, das w�re dann n�mlich eine Zitatf�lschung.

Papperlapapp. Auch das f�llt allgemein unter "quotemardern". Siehe die
diversen Usenet-FAQs.

> Unter Quotemardern
> versteht man eher sinnentstellendes Quoting durch zu gro�z�gige Auslassung.
> von Zitaten.

Auch das, und ich sehe in dem Falle weder eine Sinnentstellung noch eine
�nderung. Es wurde ein Teil korrekt zitiert, zu dem man etwas antworten
wollte. Sofern jemand Ged�chtnisprobleme wegen eines zu kurzen
Zitatausschnitts haben sollte, kann er sich problemlos im OP bedienen.
Die Anmerkung war freilich �berfl�ssig, weil sie in seinem Artikel schon
erw�hnt wurde.



>> Ich kann kein Quotemardern erkennen.

> Dazu hatte Freudi ja bereits treffend geantwortet.

Geantwortet hat er, ja.


>>> Das obige entstammt der
>>> Empfehlung von Microsoft, die nach derzeitigem Stand in sehr vielen F�llen
>>> auch tats�chlich das Ausnutzen der L�cke unterbindet.

>> Die du nicht korrekt als Zitat gekennzeichnet hattest. Das macht man im
>> Usenet �blicherweise mit "|".

> Ja, wenn es denn ein echtes Zitat ist und keine Zusammenfassung in
> Kurzform, so wie bei Freudi.

Ich kenne diese MS-Empfehlung nicht im genauen Wortlaut und wei� nicht,
welche Versionen davon im Umlauf sind. Wenn es seine freie Formulierung
war, OK, dann war das w�rtliche Zitat daraus allerdings immer noch nicht
sinnentstellend oder gequotemardert. Mir zumindest war der Sinn sofort
klar.

hpm

Ottmar Freudenberger

unread,
Jan 19, 2010, 11:31:52 PM1/19/10
to
"Ottmar Freudenberger" <fre...@gmx.net> schrieb:

> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx

Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.
Ein konkretes Freigabedatum f�r dieses Update soll "heute" (US-Zeit) mitge-
teilt werden:
http://blogs.technet.com/msrc/archive/2010/01/19/security-advisory-979352-going-out-of-band.aspx

Ottmar Freudenberger

unread,
Jan 20, 2010, 2:27:14 PM1/20/10
to
"Ottmar Freudenberger" <fre...@gmx.net> schrieb:

> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>
>> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
>> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
>> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
>> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
>
> Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
> also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
> Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.

Das Datum wurde bekanntgegeben: 21.01.2010, also morgen, gegen 19 Uhr MEZ.
Zudem wurde das (englischsprachige Original) Security Advisory den aktuellen
Erkenntnissen angepasst. Nachzulesen unter
http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx

Ottmar Freudenberger

unread,
Jan 21, 2010, 12:47:26 PM1/21/10
to
"Ottmar Freudenberger" <fre...@gmx.net> schrieb:
> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>> "Ottmar Freudenberger" <fre...@gmx.net> schrieb:
>>
>>> Microsoft hat hierzu u.a. die Security Advisory bzw. Sicherheitsemp-
>>> fehlung 979352 ver�ffentlicht, w�hrend an einem Update gearbeitet wird:
>>> http://www.microsoft.com/technet/security/advisory/979352.mspx bzw.
>>> http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/979352.mspx
>>
>> Mittlerweile hat Microsoft angek�ndigt, das Sicherheitsupdate "out-of-band",
>> also au�erhalb des �blichen Patchday-Zyklusses (jeden zweiten Dienstag im
>> Monat, der n�chste ist regul�r am 09.02.2010) ver�ffentlichen zu wollen.
>
> Das Datum wurde bekanntgegeben: 21.01.2010, also morgen, gegen 19 Uhr MEZ.
> Zudem wurde das (englischsprachige Original) Security Advisory den aktuellen
> Erkenntnissen angepasst. Nachzulesen unter
> http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx

Das Kumulative Sicherheitsupdate KB978207 (MS10-002) f�r alle unterst�tzten
IE-Versionen unter allen unterst�tzten Windows-Versionen ist bereits im
DownloadCenter von Microsoft zum manuellen Download zu finden und wird in
wenigen Minuten auch �ber Windows/Auto Update angeboten.

0 new messages