19.01.2010 16:27
Lücke im Internet Explorer: Gute und schlechte Nachrichten
US-Medienberichten zufolge will Microsoft noch in dieser Woche einen Emergency Patch veröffentlichen, der die für Angriffe auf Unternehmen wie Google ausgenutzte Lücke im Internet Explorer schließen soll. Derzeit führen die Redmonder noch eine Qualitätssicherung des Patches durch.
Bleibt zu hoffen, dass die Redmonder die Ankündigung wahr machen, denn die Einschläge kommen näher. Mehrere Berichte von Sicherheitsspezialisten widersprechen nämlich Microsofts IE-Verwundbarkeitsmatrix, wonach eigentlich nur Anwender des Internet Explorer 6 unter Windows 2000 und XP besonders gefährdet seien. Microsoft empfiehlt aktuell, auf den Internet Explorer 8 zu wechseln, da dieser zwar die Lücke aufweise, diese dort aufgrund der aktivierten Datenausführungsverhinderung (DEP) nicht ausnutzbar sei.
Dies trifft zwar für den zuerst veröffentlichten Exploit zu. Der Browserspezialist Dino Dai Zovi hat jedoch nach eigenen Angaben einen Exploit entwickelt, der auch mit dem Internet Explorer 7 unter Vista funktioniert. Der Sicherheitsdienstleister Vupen berichtet zudem, er haben einen Exploit für den Internet Explorer 8 entwickelt, der auch mit aktiviertem DEP laufe. Einzige Abhilfe brächte nur, JavaScript abzuschalten. Vupen stellt den Exploit jedoch nur Kunden zum Test zur Verfügung. Damit wird die gestern von Microsoft zur Verfügung gestellte "Fix-it"-Lösung obsolet, da diese nur DEP für den IE aktiviert.
Bislang gibt es zwar keine Berichte, dass Kriminelle die Lücke etwa zum Verteilen von Trojanern per Drive-by-Download missbrauchen. Dennoch empfiehlt es sich, bis zur Veröffentlichtung des Updates einen alternativen Browser einzusetzen, beispielsweise Firefox oder Opera.
Siehe dazu auch:
- Gezielte Angriffe auf Unternehmen gehen weiter
- Exploit für IE-Sicherheitslücke jetzt öffentlich
- BSI warnt vor Nutzung des Internet Explorer
- "Rote Hacker": Cyber-Attacken aus China
- Sicherheits-Update für Adobe Reader und Acrobat verfügbar
- US-Bericht: China verstärkt Spionageangriffe auf Unternehmen
- Chinesische Spionage-Software infiltriert Rechner tibetischer Exil-Regierung
- Antivirenhersteller rät vom Einsatz des Adobe Reader ab
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
