Inoffizieller Patch für neue IE-Sicherheitslücke

Diskutiere Inoffizieller Patch für neue IE-Sicherheitslücke im IT-News Forum im Bereich IT-News; Wer nicht bis zum nächsten Patch-Day von Microsoft warten will und trotzdem im Internet Explorer Active Scripting nutzen will, kann sich auf...
#1
copy02

copy02

News Master
Threadstarter
Team
Dabei seit
11.02.2005
Beiträge
6.493
Alter
42
Ort
Im Wilden Nordwesten an der Nordsee
Wer nicht bis zum nächsten Patch-Day von Microsoft warten will und trotzdem im Internet Explorer Active Scripting nutzen will, kann sich auf eigene Gefahr einen inoffiziellen Patch herunterladen, den ein Sicherheits-Unternehmen bereit gestellt hat.

Microsoft lässt sich bekanntlich noch etwas Zeit, bis es den Patch für die aktuelle, kritische Sicherheitslücke im Internet Explorer veröffentlicht ( die PC-WELT berichtete ). Vor dem 11. April ist mit dem Flicken vermutlich nicht zu rechnen. Dafür existiert mittlerweile ein inoffizieller Patch, den ein Sicherheits-Unternehmen veröffentlicht hat.

Der Patch stammt von Eeye Digital Security. Das Sicherheits-Unternehmen bezeichnet den Flicken als "vorläufigen" Patch.

Angesichts der Tatsache, dass bereits etliche Seiten entdeckt wurden, die diese ernste Sicherheitslücke im Internet Explorer ausnutzen, empfiehlt sich die Installation dieses Patches vermutlich für alle Anwender, die nicht auf einen anderen Browser umsteigen wollen und zudem Active Scripting im Internet Explorer nutzen müssen.

Microsoft nimmt die von dieser Lücke ausgehende Bedrohung durchaus ernst: "Wir arbeiten Tag und Nacht an der Entwicklung eines Sammel-Updates für den Internet Explorer, das diese Schwachstelle beseitigt", erklärte Stephen Toulouse, Chef des Microsoft Security Response Centers. Nach den bisherigen Planungen von Microsoft soll der neue Sammelpatch für den IE am gewohnten Patch-Tag im April, also am 11.4. zur Verfügung gestellt werden. Anwender, die ihr Windows so konfiguriert haben, dass es Updates automatisch aufspielt, müssen sich um nichts kümmern.

Angesichts der Gefahr, die von dieser Lücke ausgeht, erscheint es allerdings nicht ausgeschlossen, dass der Redmonder Konzern den Flicken für den IE doch noch außerplanmäßig veröffentlicht. Microsoft macht das von der Entwicklung des realen Gefahrenpotenzials abhängig: Sollten immer mehr Webseiten auftauchen, die diese Schwachstelle ausnutzen und den Anwendern dadurch Trojaner unterjubeln wollen, so würde Microsoft reagieren, wie Toulouse verspricht.

Der inoffizielle Patch ist kostenlos. Eeye zufolge soll sich der 950 KB große Patch automatisch entfernen, wenn Microsofts offizieller Patch ausgeliefert wird.

Download: Sicherheits-Patch für IE-Lücke createTextRange() von Eeye Digital Security

Weitere Informationen zu dieser Sicherheitslücke im IE können Sie hier nachlesen:

Trojanische Pferde nutzen neuen IE-Exploit (PC-WELT Online, 27.03.2006)

Dritte IE-Schwachstelle innerhalb kürzester Zeit (Update!) (PC-WELT Online, 23.03.2006)

Quelle: IDG Magazine Verlag GmbH/ PC-WELT
 
#2
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(djcopy02 @ 28.03.2006, 17:08) Quoted post
Angesichts der Gefahr, die von dieser Lücke ausgeht, erscheint es allerdings nicht ausgeschlossen, dass der Redmonder Konzern den Flicken für den IE doch noch außerplanmäßig veröffentlicht. Microsoft macht das von der Entwicklung des realen Gefahrenpotenzials abhängig: Sollten immer mehr Webseiten auftauchen, die diese Schwachstelle ausnutzen und den Anwendern dadurch Trojaner unterjubeln wollen, so würde Microsoft reagieren, wie Toulouse verspricht.
[/b]
Das ist wieder das typische Laissez-faire von M$. Solange es keine Schädlinge gibt, warum sollte man sich ernsthaft Gedanken machen das System sicher zu machen? Mit dieser Haltung hat M$ es immer geschafft sich ins Abseits zu manövrieren. Erst wenn tatsächlich Malware geschrieben und im Umlauf ist und der öffentliche Aufschrei entsprechend gross ist, dann fangen sie an zu stopfen.
Und nicht mal dann sind sie wirklich bereit, von ihrem geplanten Patchday abzuweichen, nein, ein außerplanmäßiges sicherheitskritisches Update geht natürlich nicht - da müssen schon wesentlich mehr Anwender dran glauben und mindestens ein inoffizieller Patch vorhanden sein, um erst mal ansatzweise daran zu denken, ob man einen außerplanmäßigen Patch zu Verfügung stellen könnte.
Wie kann man sich nur so den Ruf ruinieren... oder gibts schon gar nichts mehr zu verlieren?
Oder gehts jetzt darum, den AntiViren-Herstellern noch etwas Belebung im Geschäft zu verschaffen?
 
#3
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Die Bezeichnung "reales Gefahrenpotential" ist vielleicht die erklärung, dass Microsoft den Patch voraussichtlich erst am 11. April veröffentlicht.

Von der Sicherheitslücke sind ja nicht wirklich viele Anwender betroffen, da die Websites, die den Explolit enthalten, von ihnen nicht aufgerufen werden.

Ich glaub wenn es um Sicherheitslücken geht, wird auch ein bisschen dramatisiert. Man sollte hier auch immer zwischen der theoretischen und der praktischen/realen Gefahr unterscheiden.

Gruß

Tikonteroga
 
#4
R

Ronny

SPONSOREN
Dabei seit
07.08.2004
Beiträge
12.311
Ort
Rheinland
@Tikonteroga

ZITATVon der Sicherheitslücke sind ja nicht wirklich viele Anwender betroffen, da die Websites, die den Explolit enthalten, von ihnen nicht aufgerufen werden.[/b]
Woher willst Du das denn wissen??? Das ist aber in meinen Augen eine mehr als aus der Luft gegriffene Behauptung!
Ich meine diesbezüglich eher gelesen zu haben, dass vermutlich (!) schon eine nicht zu unterschätzende Anzahl von Websites dieses Exploit beinhalten dürfte.
 
#5
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 28.03.2006, 17:47) Quoted post
Die Bezeichnung "reales Gefahrenpotential" ist vielleicht die erklärung, dass Microsoft den Patch voraussichtlich erst am 11. April veröffentlicht.
Von der Sicherheitslücke sind ja nicht wirklich viele Anwender betroffen, da die Websites, die den Explolit enthalten, von ihnen nicht aufgerufen werden.
Ich glaub wenn es um Sicherheitslücken geht, wird auch ein bisschen dramatisiert. Man sollte hier auch immer zwischen der theoretischen und der praktischen/realen Gefahr unterscheiden.
[/b]
Es handelt sich sehr wohl um eine reale Gefahr. Wer das nicht einsieht verfälscht/verharmlost Tatsachen...
Dazu folgendes Zitat (Quelle)
ZITATDie Sicherheitsspezialisten der Websense Security Labs melden bereits mehr als 200 verschiedene Websites, auf denen ein Exploit der Sicherheitslücke in der Methode "createTextRange()" zum Einsatz kommt. Dabei soll es sich zum Teil auch um seriöse Web-Auftritte handeln, die über andere Sicherheitslücken, etwa in PHP-Anwendungen, infiltriert wurden.
Die meisten der Web-Seiten schleusen über die Schwachstelle einen Downloader ein, der weitere Schädlinge aus dem Internet nachlädt. Dabei reicht die Bandbreite dieser Schädlinge von Spyware über Backdoors bis zu Botnet-Clients.[/b]
Bei aller M$-Sympathie solltest du auch einsehen, wenn Kritik berechtigt ist... Und komm mir jetzt nicht mit "Softwareentwicklungsprozess" der viel Zeit beansprucht. M$ hat sehr wohl personelle Kapazitäten, um innerhalb kürzester Zeit einen funktionstüchtigen Patch rauszubringen...
 
#6
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Naja, ich bin mir ziemlich sicher, dass die öffentlichen und bekannten Websites den Explolit nicht enthalten. Ich könnte auch wetten, dass wenn hier jemand Websites nennt, die den explolit enthalten, dass dann keiner hier im Forum je von der Website gehört hat.
 
#7
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 28.03.2006, 18:07) Quoted post
Naja, ich bin mir ziemlich sicher, dass die öffentlichen und bekannten Websites den Explolit nicht enthalten. Ich könnte auch wetten, dass wenn hier jemand Websites nennt, die den explolit enthalten, dass dann keiner hier im Forum je von der Website gehört hat.
[/b]
Ganz tolle Argumentation! :kopfklatsch
 
#8
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Wie viele Websites gibt es im Internet?
 
#10
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
Kannst ja hier oder hier (ACHTUNG BEI DEN LINKS) mal schauen. Ich bin mir sicher, da wirst du fündig.
Und ja, diese Seiten werden sehr wohl aufgesucht (da sie auch massiv Werbung via Google machen) von Usern, die sich im Gegenteil vor Spyware und anderer Malware schützen wollen.
 
#11
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
@Ronny

Was hast jetzt für ein Problem mit der Frage? Dein Beitrag hat das Forum übrigens stark bereichert. :repect
 
#12
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 28.03.2006, 18:32) Quoted post
Was hast jetzt für ein Problem mit der Frage? Dein Beitrag hat das Forum übrigens stark bereichert. :repect
[/b]
Naja, bedingungslos M$ treue Beiträge sind auch nicht gerade wertvoll... (auch dieser nicht :D)
 
#13
msueper

msueper

Dabei seit
20.01.2005
Beiträge
1.634
Eine Lücke von dem Kalliber ist kritisch, das ganze ist doch wohl offenkundig! Oder?

Die meisten Leute gehen über Suchmaschinen auf andere Seiten. Wer kann schon im Vorhinein wissen, was google und Konsorten finden? Und wer es weiss, braucht eh kein Internet mehr (hat ja alles im Kopf!). Da wird dann schnell mal was angeklickt... Das Problem sind immer die unerfahrenen User. Zudem sind das auch die einzigen echten User, also Leute, die wirklich "wertvolle" Daten haben. Bei den (Hobby)-Admins. ist kaum was zu holen, vielleicht mal ne verschlüsselte und veraltete IP-Liste oder so.
 
#14
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
@Tobias28

Nur weil ich nicht in allem was Microsoft macht etwas schlechtes sehe oder hineininterpretiere bin ich noch lange nicht "M$-Treu". Ich habe Microsoft auch schon das eine oder andere mal kritisiert.

Und weil es gerade denen auffällt, die ziemlich häufig Microsoft kritisieren, dass ich anscheinend ein "Microsoft-Fan" oder "M$-Treu" bin, könnte es ja vielleicht auch sein, dass der eine oder andere ein Bisschen voreingenommen ist und es in Bezug auf Microsoft etwas an Objektivität fehlt.

Vielleicht kannst du dich ja an eine frühere Diskussion von uns erinnern.

Gruß

Tikonteroga
 
#15
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
ZITAT(Tikonteroga @ 28.03.2006, 18:54) Quoted post
@Tobias28
Nur weil ich nicht in allem was Microsoft macht etwas schlechtes sehe oder hineininterpretiere bin ich noch lange nicht "M$-Treu". Ich habe Microsoft auch schon das eine oder andere mal kritisiert.
[/b]
Hmm.. muss aber schon lange her sein...
ZITAT
Und weil es gerade denen auffällt, die ziemlich häufig Microsoft kritisieren, dass ich anscheinend ein "Microsoft-Fan" oder "M$-Treu" bin, könnte es ja vielleicht auch sein, dass der eine oder andere ein Bisschen voreingenommen ist und es in Bezug auf Microsoft etwas an Objektivität fehlt.
[/b]
Nun, diesen "Bonus" hat sich M$ bei mir hart erkämpft :D
ZITAT
Vielleicht kannst du dich ja an eine frühere Diskussion von uns erinnern.
[/b]
Nicht genau. Welche genau meinst du?
//Edit: schicks mir per pm, damit der thread hier nicht zu einer persönlichen fehde ausartet...:-)
 
#16
M

myoto

Gast
Ihr schweift vom Thema ab!

Desweiteren möchte ich anmerken das viele Beiträge, unter anderem von Tobias28 meiner Meinung nach nicht Voreingenommen sind, denn es sind Tatsachen, das Microsoft beim Thema Sicherheit z.B. viel Sch**** baut, wie jetzt zu sehen mit dem Patch, den sie nicht bringen, wo ein kleines Unternehmen erst nachhelfen muss.

Genau wie beim Blaster. 6 Monate haben sie das Problem ignoriert, bis der Blaster Wurm kam, weil Microsoft nicht auf die Hinweise der Lücke(n) reagierte, weil sie es nicht für nötig hielten. 6 Monate wo ein Angreifer hätte die Lücken nutzen können um Informationen zu sammeln!



ZITATWir arbeiten Tag und Nacht an der Entwicklung eines Sammel-Updates für den Internet Explorer, das diese Schwachstelle beseitigt", erklärte Stephen Toulouse, Chef des Microsoft Security Response Centers. Nach den bisherigen Planungen von Microsoft soll der neue Sammelpatch für den IE am gewohnten Patch-Tag im April, also am 11.4. zur Verfügung gestellt werden.[/b]
Es ist ja nett, das Microsoft sich so sehr bemüht Tag und Nacht zu arbeiten, aber was bringt das denn bitte, wenn die den Patch eh erst in 2 Wochen bringen ( wollen )? Sorry, aber das ist doch total die Verarschung!

Und wenn ein mickriges Sicherheitsunternehmen ( im Vergleich zu MS sind die mickrig ) einen Patch machen kann, wieso dauert das bei MS dann so lange? Das versteh ich nicht.
 
#17
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Bei Microsoft wird es für das entwickeln von Patches diverse Richtlinien und Abläufe geben, an die sich das entsprechende Team halten muss. Die können glaub auch nicht einfach drauf los programmieren. Ich hab keine Ahnung was die da genau machen, aber ich kann mal vermuten, dass die erst das Problem, zum Teil auch durch Lesen von Dokumentationen, analyisieren, dann erstellen Sie über eine oder diverse Methode(n) einen theoretischen Entwurf des Patches. Dann wird bestimmt vor dem Programmieren vielleicht noch analysiert welche negative Auswirkungen die Änderungen des Patches bewirken könnten. Falls die Änderung Probleme bereitet, müssen vielleicht noch die von dem Patch in negativer Weise betroffenen Funktionen bzw. Module ebenfalls gepatched werden. Dann wird der Patch erstellt, was glaub der schnellste Part ist. Wärend oder nach dem Programmieren des Patches müssen die entsprechenden Änderungen dokumentiert werden. Dann wird der Patch getestet. Und je nach dem, wie der Test verläuft, muss an einer Stelle der oben beschriebenen Abläufe evtl. neu begonnen werden.

Das was ich da oben geschrieben habe, kann auch grotten Falsch sein. Ich wollte damit halt auch sagen, dass das Entwickeln eines Patches nicht nur bedeutet ein paar Zeilen zu coden...

Gruß

Tikonteroga
 
#18
S

schnydra

Dabei seit
21.06.2005
Beiträge
1.329
ZITAT Es ist ja nett, das Microsoft sich so sehr bemüht Tag und Nacht zu arbeiten, aber was bringt das denn bitte, wenn die den Patch eh erst in 2 Wochen bringen ( wollen )? Sorry, aber das ist doch total die Verarschung![/b]
Genau da liegt das Problem. Oder meint ihr, nach zwei Wochen durcharbeiten (also Tag und Nacht), kommt noch was schlaues raus? :D

Ich finde es schon erbärmlich, dass andere Leute als M$-Angestellte solche Patches machen müssen, weil M$ es nicht für nötig hält, was zu unternehmen.

Aber so ist es halt. M$ hat es nicht nötig schnell zu reagieren, da eh 99% Windows verwenden. Von den 4-5% alternativ System sind doch 90% immer noch mit XP bestückt. :sleepy
 
#19
M

myoto

Gast
Was denn für ne Dokumenatation?

Sag bitte nicht eine wo drin steht was das für ne Lücke ist usw...


Ich meine nur: Wenn das so ne kleine Firma schafft, dann kann Microsoft das eigentlich schon lange, weil die da viel mehr Programmierer usw. haben


Und so wie es sich anhört ist der Patch schon fertig, sie wollen ihn nur nicht rausgeben und das finde ich so... *Verarschung*? ...
 
#20
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(myoto @ 28.03.2006, 20:48) Quoted post
Was denn für ne Dokumenatation?

Sag bitte nicht eine wo drin steht was das für ne Lücke ist usw...


Ich meine nur: Wenn das so ne kleine Firma schafft, dann kann Microsoft das eigentlich schon lange, weil die da viel mehr Programmierer usw. haben


Und so wie es sich anhört ist der Patch schon fertig, sie wollen ihn nur nicht rausgeben und das finde ich so... *Verarschung*? ...
[/b]
Ich denke mal, dass bei der Entwcklung des Programmcodes, in dem die Sicherheitslücke entdeckt wurde, eine Art Entwicklerdokumentation erstellt wurde. Und die Veränderungen, die an dem Programmcode durch den Patch vorgenommen wurden, müssen bestimmt ebenfalls dokumentiert werden.

Naja ich glaube eine kleine Firma, die auch nicht für die Funktionstüchtigkeit der Software verantwortlich ist, hat es da leichter. Da kann es sein das die vielleicht wirklich an einem Tag den Patch programmieren und rausgeben können.

Ausserdem glaube ich nicht, dass die den Patch nicht herausgeben, weil sie ihn nicht herausgeben wollen. Es werden eben bestimmte Abläufe/Prozesse noch nicht abgeschlossen sein. Kritisier nicht immer gleich los, sondern denk vorher mal etwas nach, woran es vielleicht liegen könnte. Teilweise hab ich bei dir schon gemerkt, dass oft nicht mal den Text richtig durchgelesen oder nicht verstanden hast und dann irgendwas an Microsoft kritisierst was es gar nicht gibt...

Gruß

Tikonteroga

PS: Was zum Thema: http://www.winboard.org/index.php?showtopic=46255&hl=#
 
Thema:

Inoffizieller Patch für neue IE-Sicherheitslücke

Inoffizieller Patch für neue IE-Sicherheitslücke - Ähnliche Themen

  • Inoffizieller Patch schließt gefährliche Lücke

    Inoffizieller Patch schließt gefährliche Lücke: Eine gefährliche und bisher ungepatchte Sicherheitslücke in Adobe Reader ist länger bekannt, als bisher bekannt. Auch Angriffe auf diese Lücke gab...
  • Inoffizieller XP-SP3-Patch steht zum Download bereit

    Inoffizieller XP-SP3-Patch steht zum Download bereit: Ab sofort liegt ein inoffizieller XP-SP3-Patch für AMD-basierte Rechner von HP vor. Bereitgestellt wurde er von Jesper Johannsson, einem...
  • Inoffizieller VML-Patch für den IE

    Inoffizieller VML-Patch für den IE: Unabhängige Forscher haben einen Patch für den Internet Explorer bereit gestellt, der die Anfälligkeit gegen so genannte VML-Exploits beseitigen...
  • Inoffizielle Patch-Pakete für Windows verfügbar

    Inoffizielle Patch-Pakete für Windows verfügbar: Update-Pakete mit Sicherheits-Patches für Internet Explorer und Windows Pünktlich zum diesmonatigen Patch-Day von Microsoft haben Winboard.org...
  • inoffizieller Patch für Active Scripting

    inoffizieller Patch für Active Scripting: Wiedereinmal gibt es einen inoffiziellen Patch für eine nicht geschlossene M$ IE Sicherheitslücke. Das ganze ist aber mit Vorsicht zu genießen, da...
  • Ähnliche Themen

    • Inoffizieller Patch schließt gefährliche Lücke

      Inoffizieller Patch schließt gefährliche Lücke: Eine gefährliche und bisher ungepatchte Sicherheitslücke in Adobe Reader ist länger bekannt, als bisher bekannt. Auch Angriffe auf diese Lücke gab...
    • Inoffizieller XP-SP3-Patch steht zum Download bereit

      Inoffizieller XP-SP3-Patch steht zum Download bereit: Ab sofort liegt ein inoffizieller XP-SP3-Patch für AMD-basierte Rechner von HP vor. Bereitgestellt wurde er von Jesper Johannsson, einem...
    • Inoffizieller VML-Patch für den IE

      Inoffizieller VML-Patch für den IE: Unabhängige Forscher haben einen Patch für den Internet Explorer bereit gestellt, der die Anfälligkeit gegen so genannte VML-Exploits beseitigen...
    • Inoffizielle Patch-Pakete für Windows verfügbar

      Inoffizielle Patch-Pakete für Windows verfügbar: Update-Pakete mit Sicherheits-Patches für Internet Explorer und Windows Pünktlich zum diesmonatigen Patch-Day von Microsoft haben Winboard.org...
    • inoffizieller Patch für Active Scripting

      inoffizieller Patch für Active Scripting: Wiedereinmal gibt es einen inoffiziellen Patch für eine nicht geschlossene M$ IE Sicherheitslücke. Das ganze ist aber mit Vorsicht zu genießen, da...
    Oben