Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Internet Explorer Lücke

von Georg Binder 18. January 2010 07:57

Update: Update zur IE Lücke

Ich wollte eh mal wieder was über den Internet Explorer schreiben, da kommt ja die aktuelle Lücke gerade recht.

Zwei bemerkenswerte Umstände
Erstens ist das – man möchte fast sagen endlich – wieder mal eine Lücke, die eine Systemkomponente von Windows betrifft. Das ist in letzter Zeit selten geworden. Aber zweitens: das ist kein Script-Kiddie Angriff, sondern eine gezielter Attacke auf offenbar bestimmte Personen in Technologie- und Rüstungsunternehmen gewesen, d.h. da sind ganz gezielt Leute in diesen Unternehmen angeschrieben worden um deren Rechner mit verschiedenen Angriffen  (der IE war nur einer der Angriffsvektoren) mit Spyware/Trojanern zu beglücken.

Bundesamt für Sicherheit in der Informationstechnik warnt vor Nutzung des IE
Aber hallo, … Gratulation, mit diesem Hinweis hat es das BSI sogar in die Bild Zeitung geschafft. Und genau dort (vor allem im Zusammenhang mit anderen Meldungen) gehört dieser Populismus auch hin.

image

[Update: sollte es sich bewahrheiten, dass der IE8 auch betroffen ist, dann sorry BSI. Ich klick einfach auf die linke Seite auf der Bildseite]

Die derzeitigen Angriffe richten sich vor allem gegen den Internet Explorer 6 auf Windows XP. Angriffe gegen andere Browserversionen wurden bis dato nicht gesehen. Oh, die Lücke existiert auch u.a. mit IE8 unter Windows 7. ABER: Verschiedene Schutzmechanismen verhindern mit dem derzeit kurierenden Exploit Code, dass diese ausgenutzt wird. Dazu gehören u.a. der Protected Mode, NX, UAC und DEP. Das heißt, dass ein Windows 7 Benutzer schon selbst sein System unsicher konfigurieren muss, damit er – derzeit - davon betroffen ist. Das mag sich demnächst ändern, da Exploit Code öffentlich verfügbar ist (zum Selberbasteln mit MetaSploit, siehe Reproducing the Aurora IE Exploit).

Ähnlich sieht das auch Security Watch, die allerdings einen Schritt weiter gehen und sagen: es ist nur XP betroffen, und auch da nur mit IE 6 & 7, nicht mit IE8. Der IE8 hat DEP per default eingeschaltet, das müsste man bei IE7 erst aktivieren,… Microsoft hat diese Tabelle dazu entworfen, wer sich jetzt wirklich fürchten muss:

image

Quelle: Assessing risk of IE 0day vulnerability – dort ist auch zu finden, wie man IE7 auf XP und Vista richtig konfiguriert, wenn man aus [wichtigen Grund hier einfügen] den aktuellen Browser nicht einsetzt.

Ich vermisse in diesem Zusammenhang die Meldungen des BSI, die da lauten: “Nicht XY nutzen!”, alleine am Beispiel der letzten 5 Heise-Security Alerts:

image

Da ist ebendiese IE Lücke, eine “Benutze Flash Version 6 nicht mehr”, eine monatelange Endlosgeschichte zu Adobe PDF und eine sieben Monate alte MacOS X Geschichte:

Die Lücke ist allgemein seit Juni des vergangenen Jahres bekannt und wurde zumindest von den Browser-Hersteller Opera, Google und der Mozilla Foundation als (extrem) kritisch eingestuft und beseitigt. Auch OpenBSD, FreeBSD und NetBSD wiesen die Lücke auf. Dort ist sie aber ebenfalls schon geschlossen.

Quelle: Schwachstelle in Mac OS X seit Monaten ungepatcht

Aha! Also (welch Überraschung): auch andere Browser/OS weisen Lücken auf, schließen diese (also die meisten jedenfalls). Bloß gibt man da keine BSI Meldungen, wonach man jetzt generell von MacOS X abrät.

Aktuelle Software einsetzen!
Systeme, die am Internet hängen oder wo User Zugriff haben, müssen mit aktueller Software bestückt sein. Und das ist völlig unabhängig, ob das System nun Windows heißt, oder Mac OS X, oder BSD oder,… und natürlich auch egal welcher Browser (oder andere Software,…). Updates nicht einzuspielen ist fahrlässig.

Auf WindowsBlog.at benutzen übrigens 24% der Firefox Benutzer eine Version, die bekannte Lücken aufweist. Ähnlich auch bei Flash: ca. 30% benutzen Flash 9 und älter. Die Verteilung mit dem derzeit ja als “am gefährlichsten” einzustufenden Acrobat Reader sehe ich nicht. Grob geschätzt könnte man ca. 20% der WindowsBlog.at Besucher durch “Locken auf eine böse Seite” mit einem Trojaner ausstatten (das schließt die MacOS X Nutzer mit ein).

Microsoft wird nun daran zu messen sein, wie lange diese Lücke offen ist. Vermutlich – wenn das Bedrohungspotential tatsächlich so hoch ist – wird es einen Out-of-Band Patch geben. Ist die Lücke abseits des Boulevards doch nicht so groß, dann wird das wohl beim nächsten Patch-Day geschlossen.

Fazit:
Panik ist fehl am Platze. Es sei denn, man kommt auf die geniale Idee, mit einem nicht gepatchen System ans Internet zu gehen. Was für eine neue Erkenntnis.

Mehr Information: http://www.microsoft.com/technet/security/advisory/979352.mspx

PS: Haha, die Attacke wurde ja “Aurora” getauft. Das ist auch der Codename bei Microsoft für ein Projekt,… bin neugierig ob das nun geändert wird.

 

Comments (16) -

>

1/18/2010 9:38:25 AM#

Puh, danke für die Aufklärung, hatte meinen PC gleich heruntergefahren, als ich die Nachricht im Fernsehen gesehen haben (beim Durchzappen auf RTLII, genauso schlimm wie Bild!). Spaß bei Seite: ich finde es total lächerlich, wie sowas immer wieder hochgepushed wird. Und das der IE6 nicht mehr der Beste ist und nur Probleme macht (nicht zuletzt bei der Web-Entwicklung), sollte jedem ja wohl klar sein, dass man unbedingt umsteigen sollte. Ansonsten installiert sich ja auch jeder die neuste Version. Übel bei T-Online Kunden, wo im Center noch der alte IE implementiert ist. Aber auch da kann man die Software aktualisieren oder gar darauf verzichten...

Michael SchäferGermany | Reply

>

1/18/2010 9:43:14 AM#

Bundesamt für Sicherheit in der Informationstechnik warnt vor Nutzung des IE

Aber hallo, … Gratulation, mit diesem Hinweis hat es das BSI sogar in die Bild Zeitung geschafft. Und genau dort (vor allem im Zusammenhang mit anderen Meldungen) gehört dieser Populismus auch hin.


Das interessanteste an diesem Artikel ist, dass 'das offizielle Microsoft' mittels der Stimme ihres hiesigen PR-Blog die Arbeit eines deutschen Bundesamts (namentlich desjenigen für Sicherheit in der Informationstechnik) auf das gleiche Niveau wie den Boulevardjournalismus herabsenkt (resp. anhebt, je nach Betrachtungsweise).

Derzeitig hätte ich übrigens weder verlässliche Informationen (noch die Zeit mich mit solchen genügend ausgiebig zu beschäftigen) um eine Wertung der Gegebenheiten auf technischer Ebene, wie sie auch in diesem und anderen Nachrichtenbeiträgen versucht wird zu machen, zu treffen.

[b]@Georg Binder[b]
Unter 'Aurora' versteht man, soweit die von mir bis dato konsultierten Informationsquellen dies richtig wiedergeben, nicht nur den einen bestimmten, technischen Angriffsvektor (in Windows' Internet Explorer) dar, sondern ist eine künstliche Benennung der über Weihnachten-Neujahr mutmasslicherweise stattgefundenen Attaken auf diverseste (US-)IT-Unternehmen, bei welchen angeblich sehr zielgerichtet bestimmte Bereiche, u. a. Source-Repositories von namhafteren Applikationen und weitere bei den Zielen residierenden, für die Angreifer als lukrativ zu sehenden Informationen, kompromittiert werden sollten, also an jenen Stellen Daten gezielt entwendet oder eingeschleusst werden sollten. Hierbei wäre interessant zu wissen, ob Microsoft ebenfalls von diesem/einem solchen genannten Angriff in jener Zeitspanne betroffen war - eine offizielle Stellungnahmen wäre mir diesbez. vom blauene Riesen nämlich nicht bekannt Smile ?

Grüsse,
MT

Martin ThomasSwitzerland | Reply

>
>

1/18/2010 10:35:53 AM#

Ad BSI: Ich schätze die Papers und Alerts des BSI normalerweise sehr hoch ein. Und verweise zum Beispiel immer wieder auf das BSI Whitepaper zur sicheren Implemetierung von BitLocker in Unternehmen. Aber das hat auch eine andere Qualität, als die Pressemeldung bezüglich dieser Lücke. Ich nehme sofort alles zurück, wenn sie dazugeschrieben hätten, dass sie diese Lücke bereits unter Windows 7 mit IE8 reproduzieren konnten (dann wären sie die ersten gewesen). So bleibt es Panikmache. Wer zu oft "Feuer" ruft... damit ist niemandem geholfen.

<i>'das offizielle Microsoft' mittels der Stimme ihres hiesigen PR-Blog</i>
Das offizielle Microsoft gibt Pressemeldungen heruas und wird durch Tom Lutz (Unternehmenssprecher Microsoft Österreich) bzw. die Agentur Pleon Publico vertreten und nicht durch diesen Blog. Dieser Blog spiegelt meine persönliche Meinung wieder, und ist nicht beim Frühstück mit Steve Ballmer abgestimmt worden.

Ad Angriff auf Microsoft:
Vermutlich schon. Microsoft ist tagtäglich diversesten Attacken ausgesetzt, es würde mich wundern, wenn das hier eine Ausnahme gewesen wäre. Offizielle Informationen dazu habe ich nicht, aber so viel ich weiß hat es innerhalb des Unternehmensnetzwerkes auch keine "Extra-"Warnung gegeben. Im allgemeinen ist das Unternehmensnetzwerk von Microsoft sehr gut geschützt,...

Georg BinderAustria | Reply

>
>
>

1/19/2010 5:26:51 PM#

> Ich nehme sofort alles zurück, wenn sie dazugeschrieben hätten, dass sie diese Lücke bereits unter Windows 7 mit IE8 reproduzieren konnten

Dann aktualisiere mal deinen Blog:

Der Sicherheitsdienstleister Vupen berichtet zudem, er haben einen Exploit für den Internet Explorer 8 entwickelt, der auch mit aktiviertem DEP laufe.

www.heise.de/.../...echten-Nachrichten-908167.html

wer im Glashaus sitzt...Germany | Reply

>

1/18/2010 3:48:57 PM#

Mehr Information: www.microsoft.com/.../979352.mspx

Da steht aber, daß DEP nur ein abschwächender Faktor ist und nicht, daß dadurch der Angriff gänzlich unmöglich wird. Das MSRC hingegen sagt, daß DEP verhindert, daß der Exploit funktioniert. Microsoft Advisory gegen Microsoft Security Response Team Wink

Allerdings darfst du eines nicht verschweigen, was das MSRC nur zwei Tage später gesagt hat:

The attacks that we have seen to date, including public proof-of-concept exploit code, are only effective against Internet Explorer 6. Based on a rigorous analysis of multiple sources, we are not aware of any successful attacks against IE7 and IE8 at this time.

blogs.technet.com/.../...the-threat-landscape.aspx

Also "was wir bis jetzt gesehen haben" und "momentan" aus dem Munde des MSRC klingt doch ein wenig als ob auch die sich doch noch nicht so richtig festlegen wollen.

das ist kein Script-Kiddie Angriff, sondern eine gezielter Attacke auf offenbar bestimmte Personen in Technologie- und Rüstungsunternehmen gewesen

Gewesen, du sagst es, aber der Exploit Code ist nun öffentlich. Das gibt der Lücke meiner Ansicht nach eine andere Brisanz. Besonders wo die Einschätzung welche Systeme tatsächlich gefährdet sind je nach Ansichtsweise voneinander abweichen.

wer im Glashaus sitzt...Germany | Reply

>
>

1/18/2010 7:18:21 PM#

Ich spreche ausdrücklich von *derzeit* und *Das mag sich demnächst ändern, da Exploit Code öffentlich verfügbar ist* (samt Links auf ebensolche).

Würde also schon sagen, dass mein Artikel deinem Kommentar auch ohne Update des Artikels genügt, oder? Smile

Georg BinderAustria | Reply

>
>
>

1/18/2010 10:43:50 PM#

Hast schon recht, "derzeit" sichert dich vor möglichen Weiterentwicklungen des Exploits ab, welche dann vielleicht auch Windows 7 und den IE8 bei aktiviertem DEP beim Besuch einer gehackten Webseite mit entsprechendem Exploit Code zur Hölle schicken könnten Laughing Vielleicht bringt Microsoft aber auch einfach rechtzeitig einen Patch heraus, dann ist das Thema eh durch, es sei denn, der Patch patcht nicht, was ja auch schon mal irgend einer Softwareschmiede passiert sein soll:

www.heise.de/.../...Patch-patcht-nicht-215415.html

Derweil wunder ich mich über die regionalen Unterschiede bei der IE Verbreitung:

Schweiz: 42,97% bis dato im Januar 2010 Durchschnitt

gs.statcounter.com/

Österreich: 39,13% bis Dato im Januar 2010 Durchschnitt

gs.statcounter.com/

Deutschland: 27,19% bis Dato im Januar 2010 Durchschnitt

gs.statcounter.com/

Also das sind ja mal ganz erhebliche Unterschiede. Hast du eine Ahnung woran das liegt? Die Zahlen werden zwar noch variieren, der Monat ist ja noch nicht vorbei, aber mit Blick auf die Dezember Stats werden die zu Erwartenden Veränderungen im Januar nur noch unwesentlich gegenüber dem jetzt ermittelten Durchschnitt sein.

Übrigens hatte der IE6 im Dezember 2009 noch einen weltweiten Marktanteil von 14,04%:

gs.statcounter.com/

wer im Glashaus sitzt...Germany | Reply

>
>
>
>

1/18/2010 11:49:40 PM#

Es gibt bei Metasploit auch Payloads die DEP umgehen können,.. wie gesagt es würde mich nicht wundern. Aber eigentlich gehe ich davon aus, dass ein Patch demnächst zur Verfügung steht. Wenn nicht, dann darf das BSI seine Warnung wiederholen, vielleicht dann mit einer Steigerung ("Rät jetzt *wirklich* ab")

Zu den Zahlen: ich glaube einfach, dass die Samples nicht groß genug sind, um tatsächlich eine aussagekräftige Statistik zu bekommen.

Georg BinderAustria | Reply

>
>
>
>
>

1/19/2010 12:30:43 AM#

Zu den Zahlen: ich glaube einfach, dass die Samples nicht groß genug sind, um tatsächlich eine aussagekräftige Statistik zu bekommen.

Woher der plötzliche Sinneswandel?

Nicht lang ist es her, hat sich das zumindest auf Deutschland bezogen aus deinem Munde noch ganz anders angehört:

Zum Beispiel von StatCounter, die analysieren 45 Millionen PageView bzw. 10 Millionen unique User pro Monat (und dürften damit “repräsentativ” sein). Hier die Zahlen von Deutschland:

windowsblog.at/.../...-e28093-Die-erste-Woche.aspx

wer im Glashaus sitzt...Germany | Reply

>

1/18/2010 5:27:44 PM#

Wann gibt es nun endlich die Möglichkeit, den IE zu deinstallieren? Mit oder ohne Patch, Lücken usw. den Browser will ich weg haben. Zudem, entgegen der Hoffnung den IE Fehler runter zu spielen (aber wenn wurdert es hier schon ^^) Frankreich bringt ebenfalls eine Meldung raus, wo man auf den IE möglichst verzichten soll.

Ich nutze zwar kein Apple, aber die 6-7 Monate sind gar nichts zu Microsofts 2Jähriger Word Sicherheitslücke Tong ( und MS wußte davon, das gab man selber zu). Will damit nur sagen, das es sehr leicht ist jemandem Kacke an die Backe zu schmieren, obwohl das eigene Konzern welches man vertritt es auch nicht besser macht ^^

ciao.

beleAustria | Reply

>
>

1/18/2010 7:13:30 PM#

Die Systemkomponenten lassen sich nicht deinstallieren, das Browserfenster sehr wohl (und damit die Möglichkeit, dass ein Benutzer den IE nutzt). Über Windows Features geht das ja recht flott.

Fehler heruntergespielt: Die Situation ist hier klar beschrieben. Hier wird nicht beschönigt, aber auch nicht überdramatisiert. Und wenn Frankreich oder wer auch immer politisch agiert und nicht technisch,... dann werden sie ihre Gründe haben.

Eigentlich hätte ich auch Copy & Paste den Artikel vom letzten Jahr nehmen können: http://windowsblog.at/post/2008/12/17/33694.aspx

Georg BinderAustria | Reply

>
>
>

1/19/2010 3:53:18 PM#

Aber ebenso hättest du es auch lassen können. Den IE mit FF  ist angesichts verschiedener Stellung in Lizenzen, Politik usw. nur schwer zu vergleichen. Während du den Sourcecode vom aktuellem FF zb. hier bekommst, ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.5.7/source/ und damit problemlos auf Probleme untersuchen und Melden kannst... Findet man nichts Vergleichbares für den IE. Er ist verschlossen und liegt hinter dicken MS Mauern, streng bewacht von MS Entwicklern und MS Anwälten. Denn einfach so, einen Fehler melden, duldet man bei MS ja schließlich auch nicht.

Gegen Probleme tut man auch nicht viel, meist erst dann wenn Kacke am Dampfen ist. Dazu kommt es auch so, wie du im Verlinktem Post auch angefangen hast. Man spielt alles runter in dem man Anfängt, Au wei, eine Sicherheitslücke! Hier habt ihr einen Patch. Habt euch doch nicht so ... vor paar Monaten, hat es kaum einer ausgenutzt. Mozilla regelt ihre Patchs schnell und wartet auf keine Patchdays. MS patcht nicht alles, selbst lange bekannte kritische Fehler, in denen Patchdays ab. Zumindest aber, bringen sie es dann außerhalb der geregelten Patchs, wenn die Lage zu eskalieren droht und der letzte bisschen Lack abzubrechen erscheint.

Der bit9 Eintrag, steht bis heute in der Kritik, weil es ein bit9 Partner ist/war und die Produkte mit zweierlei Maß bewertete. Win7 wurde 2x mit Patchdays übergangen, obwohl es Dinge seit Beta gibts die bekannt sind und trotzdem nicht gemacht wurde, weil man den Win7 Käufern den Eindruck vermitteln wollte, es sei noch zu neu und frei von Fehlern. Als ich das gelesen habe, konnte ich mir nur noch an den Kopf greifen. So was unverantwortliches ... nee, ich rege mich bloß auf ^^

Ganz ehrlich, der Post ist genauso sinnlos wie der Verlinkte. Weniger schön reden und mehr machen. Dann muss man auch nicht heulen weil alle gegen MS zu sein scheinen. Hier ist MS Schuld.

beleAustria | Reply

>

1/18/2010 5:49:44 PM#

Die Flash Player Problematik ist aber auch zu Teil auf dem Mist von Microsoft gewachsen, weil dieser Standardmäßig mit XP mitinstalliert wird, aber bis auf eine ebenso schon veraltete alte Flash Version 9 nicht  mehr aktualisiert wird über das Windowsupdate - von daher ganz klar eine Nachlässigkeit von Microsoft Software mitauszuliefern, aber anschließend nicht mehr die Wartung zu übernehmen...

DualbooterAustria | Reply

>
>

1/18/2010 5:57:13 PM#

Ach du meinst die von Microsoft in XP zwangsweise installierte Flash Player 6 Version, oder?

Parallel zu dem gestrigen Sicherheits-Update hat Microsoft noch einen Hinweis auf eine kritische Lücke im ActiveX-Control des standardmäßig in Windows XP enthaltenen Flash Player 6.x hingewiesen. Die Lücke soll es Angreifern ermöglichen, durch präparierte Webseiten den PC eines Besuchers mit Schädlingen zu infizieren. Ein funktionierendes Update gibt es von Microsoft nicht

www.heise.de/.../...ash-Player-Version-903590.html

So wirken Geogrs Spitzen gegen veraltete Flash Player (6) Versionen natürlich in einem anderen Licht, weil es im Prinzip ja Spitzen gegen den IE sind. Und da sage einer Microsoft könne keine Selbstkritik üben *rofl*

@ Georg: Schalte doch mal meinen anderen Beitrag frei und sag deinem Spam Filter, daß Links auf Microsoft Webseiten kein Spam sind Laughing

wer im Glashaus sitzt...Germany | Reply

>

6/11/2010 11:23:59 AM#

Warum muss man beim Internet-Explorer immer wieder von Lücken lesen? Irgendwie ist Bill Gates mit seiner Firma das Opfer seines Erfolges geworden. Es wird Zeit, dass die Patches bei Microsoft schneller kommen. Hier ist Firefox aus meiner Sicht deutlich anders aufgestellt. Aber Microsoft hat die Zeit und das Geld den Rückstand wieder aufzuholen. Ich bin auf den nächsten Coup gespannt!

BernhardGermany | Reply

>
>

6/11/2010 12:04:30 PM#

Gegenfrage: bei welchem Browser liest man nicht andauernd was über Sicherheitslücken? Firefox? Ganz sicher nicht. Safari? Haha,.. usw.

Bill Gates ist das übrigens ziemlich wurscht, denn der setzt seine Milliarden derzeit ein, um in dritten Welt das Leid von Kindern zu lindern. Gut, ist nicht so die Schlagzeile, wie wenn ein anderer Firmenchef seinen Haß auf Flash dauernd in die Medien bringt,.. jeder wie er glaubt.

Georg BinderAustria | Reply

Pingbacks and trackbacks (1)+

>

1/18/2010 9:11:41 AM#

Pingback from topsy.com

Twitter Trackbacks for
        
        WindowsBlog.at | Internet Explorer Lücke
        [windowsblog.at]
        on Topsy.com

topsy.com | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies