Update: Update zur IE Lücke
Ich wollte eh mal wieder was über den Internet Explorer schreiben, da kommt ja die aktuelle Lücke gerade recht.
Zwei bemerkenswerte Umstände
Erstens ist das – man möchte fast sagen endlich – wieder mal eine Lücke, die eine Systemkomponente von Windows betrifft. Das ist in letzter Zeit selten geworden. Aber zweitens: das ist kein Script-Kiddie Angriff, sondern eine gezielter Attacke auf offenbar bestimmte Personen in Technologie- und Rüstungsunternehmen gewesen, d.h. da sind ganz gezielt Leute in diesen Unternehmen angeschrieben worden um deren Rechner mit verschiedenen Angriffen (der IE war nur einer der Angriffsvektoren) mit Spyware/Trojanern zu beglücken.
Bundesamt für Sicherheit in der Informationstechnik warnt vor Nutzung des IE
Aber hallo, … Gratulation, mit diesem Hinweis hat es das BSI sogar in die Bild Zeitung geschafft. Und genau dort (vor allem im Zusammenhang mit anderen Meldungen) gehört dieser Populismus auch hin.
[Update: sollte es sich bewahrheiten, dass der IE8 auch betroffen ist, dann sorry BSI. Ich klick einfach auf die linke Seite auf der Bildseite]
Die derzeitigen Angriffe richten sich vor allem gegen den Internet Explorer 6 auf Windows XP. Angriffe gegen andere Browserversionen wurden bis dato nicht gesehen. Oh, die Lücke existiert auch u.a. mit IE8 unter Windows 7. ABER: Verschiedene Schutzmechanismen verhindern mit dem derzeit kurierenden Exploit Code, dass diese ausgenutzt wird. Dazu gehören u.a. der Protected Mode, NX, UAC und DEP. Das heißt, dass ein Windows 7 Benutzer schon selbst sein System unsicher konfigurieren muss, damit er – derzeit - davon betroffen ist. Das mag sich demnächst ändern, da Exploit Code öffentlich verfügbar ist (zum Selberbasteln mit MetaSploit, siehe Reproducing the Aurora IE Exploit).
Ähnlich sieht das auch Security Watch, die allerdings einen Schritt weiter gehen und sagen: es ist nur XP betroffen, und auch da nur mit IE 6 & 7, nicht mit IE8. Der IE8 hat DEP per default eingeschaltet, das müsste man bei IE7 erst aktivieren,… Microsoft hat diese Tabelle dazu entworfen, wer sich jetzt wirklich fürchten muss:
Quelle: Assessing risk of IE 0day vulnerability – dort ist auch zu finden, wie man IE7 auf XP und Vista richtig konfiguriert, wenn man aus [wichtigen Grund hier einfügen] den aktuellen Browser nicht einsetzt.
Ich vermisse in diesem Zusammenhang die Meldungen des BSI, die da lauten: “Nicht XY nutzen!”, alleine am Beispiel der letzten 5 Heise-Security Alerts:
Da ist ebendiese IE Lücke, eine “Benutze Flash Version 6 nicht mehr”, eine monatelange Endlosgeschichte zu Adobe PDF und eine sieben Monate alte MacOS X Geschichte:
Die Lücke ist allgemein seit Juni des vergangenen Jahres bekannt und wurde zumindest von den Browser-Hersteller Opera, Google und der Mozilla Foundation als (extrem) kritisch eingestuft und beseitigt. Auch OpenBSD, FreeBSD und NetBSD wiesen die Lücke auf. Dort ist sie aber ebenfalls schon geschlossen.
Quelle: Schwachstelle in Mac OS X seit Monaten ungepatcht
Aha! Also (welch Überraschung): auch andere Browser/OS weisen Lücken auf, schließen diese (also die meisten jedenfalls). Bloß gibt man da keine BSI Meldungen, wonach man jetzt generell von MacOS X abrät.
Aktuelle Software einsetzen!
Systeme, die am Internet hängen oder wo User Zugriff haben, müssen mit aktueller Software bestückt sein. Und das ist völlig unabhängig, ob das System nun Windows heißt, oder Mac OS X, oder BSD oder,… und natürlich auch egal welcher Browser (oder andere Software,…). Updates nicht einzuspielen ist fahrlässig.
Auf WindowsBlog.at benutzen übrigens 24% der Firefox Benutzer eine Version, die bekannte Lücken aufweist. Ähnlich auch bei Flash: ca. 30% benutzen Flash 9 und älter. Die Verteilung mit dem derzeit ja als “am gefährlichsten” einzustufenden Acrobat Reader sehe ich nicht. Grob geschätzt könnte man ca. 20% der WindowsBlog.at Besucher durch “Locken auf eine böse Seite” mit einem Trojaner ausstatten (das schließt die MacOS X Nutzer mit ein).
Microsoft wird nun daran zu messen sein, wie lange diese Lücke offen ist. Vermutlich – wenn das Bedrohungspotential tatsächlich so hoch ist – wird es einen Out-of-Band Patch geben. Ist die Lücke abseits des Boulevards doch nicht so groß, dann wird das wohl beim nächsten Patch-Day geschlossen.
Fazit:
Panik ist fehl am Platze. Es sei denn, man kommt auf die geniale Idee, mit einem nicht gepatchen System ans Internet zu gehen. Was für eine neue Erkenntnis.
Mehr Information: http://www.microsoft.com/technet/security/advisory/979352.mspx
PS: Haha, die Attacke wurde ja “Aurora” getauft. Das ist auch der Codename bei Microsoft für ein Projekt,… bin neugierig ob das nun geändert wird.