News BSI warnt vor kritischem Zero-Day-Exploit im Internet Explorer

Und man muss auch dazu sagen, das einige Seiten nur mit dem IE funktionieren, da dieser einfach die höchste Kompatibilität besitzt!

Er besitzt nicht die höchste Kompatibilität, er ist einfach standardmäßig bei Windows dabei, deswegen werden Seiten Standardmäßig dafür aufgebaut.

Es liegt nur an den Seitenerstellern ob diese gemütlich sind und das dann so lassen oder noch kleinere Kompatibilitätseinstellungen für andere Browser vornehmen.
 
Das aber auch echt in jedem Thread dazu eine Grundsatzdiskussion vom Zaun gebrochen werden muss... fail!

@Topic:
Hoffentlich wird das schnellstmöglich gefixt. Am liebsten noch mit ein paar Hintergrundinfos zu den Lücken; aber die darf man sich wohl wieder selber zusammensuchen - wie meistens.
 
@K1ll3m4ll:

Dann benutzt du wohl den IE9. Hatte gehofft, dass du noch beim IE8 bist, da diesen die Mehrheit benutzt ;).
Weil beim IE9 hat es Microsoft doch tatsächlich durch den Acid3-Test geschafft. :lol:

Aber wie andere User bereits vor mir gut erklärt haben: Der IE ist nicht Standardkonform und alles Andere als kompatibel. Liegt einfach nur daran, dass sich fleißige Entwickler auch für eine Portierung auf den IE interessieren, wodurch es da Unterschiede geben kann, die es eigentlich nicht geben sollte.
 
Ich habe da mal eine Verständnissfrage!

Greifen Browser wie MFirefox oder Opera nicht auch auf Einstellungen vom IE zu und sind diese doch dann auch hiervon betroffen?
 
tun sie nicht und sind sie nicht. Die Lücke dürfte wohl mal wieder in der ActiveX-Steuerung sein, betrifft also nur Microschrott-Produkte
 
~DeD~ schrieb:
ich weiß zB dass Hunday keinen IE benutzt. es ist mitlerweile auch bei den firmen angekommen, dass der IE ein riesen haufen.... ist.

ja wäre schön, wenn das bei bmw, vw, teleckom, und und und auch ankommen würde. aber solange das nicht der fall ist... die nutzen den ja nicht nur für unsere intranetanwendung ;)


edit: und übrigens, die oben genannten nutzen ALLE ie8. deswegen sind wir gewzungen unsere lösung nach wie vor nur für 8 zu supporten.
 
Hc-Yami schrieb:
Ganz unten dann noch den Internet Explorer als Download anzubieten finde ich etwas amüsant. :D

Hab cih mir auch gerade gedacht :rolleyes::rolleyes:
 
Als lebender Benutzer des IE 10 muss man sich auchmal zu Wort melden. Ein Verfechter bin ich dennoch nicht, denn jeder Browser hat Vor- und Nachteile. Allerdings haben die wenigesten selbst Erfahrung mit den neuesten Versionen gemacht und betreiben deswegen nur Bashing...

Fakt ist: Solche Lücken existieren bei jedem Browser, das ist nichts Neues. Und dass solche Lücken beim IE am häufigsten "auftreten" liegt wohl schlicht an der Tatsache, dass Standardprodukte wesentlich öfters auf Lücken untersucht werden. (Siehe Windows und Mac OS. Hier wird Mac OS zunehmend attraktiv und plötzlich existieren auch Lücken und Viren...)

Aber ein IE Nutzer hat auch Vorteile. Die Lücken kommen schneller ans Licht und werden dann auch gefixt. Das geschieht bei nicht so häufig verwendeten Browsern nicht. Dem liegt einfach zugrunde, dass die Entdeckungsrate mit der Nutzerzahl stark ansteigt.
Alle die das nicht glauben mögen sich erst mit dem Kapitel Network Security beschäftigen, bevor sie wieder solche Behauptungen raus lassen...
 
NuminousDestiny schrieb:
Aber ein IE Nutzer hat auch Vorteile. Die Lücken kommen schneller ans Licht und werden dann auch gefixt. Das geschieht bei nicht so häufig verwendeten Browsern nicht. Dem liegt einfach zugrunde, dass die Entdeckungsrate mit der Nutzerzahl stark ansteigt.
Alle die das nicht glauben mögen sich erst mit dem Kapitel Network Security beschäftigen, bevor sie wieder solche Behauptungen raus lassen...

Naaaa ja, ziemlich weit her geholt.
Viel eher sieht die Sache so aus: Die meisten Konkurrenzprodukte sind Open Source. Einer der größten Vorteile von Open Source: Uuuuunmengen Entwickler können nach Lücken suchen und nicht wie bei Closed Source nur einige wenige Entwickler, und die auch nur, wenn der Boss zustimmt, ein Auftraggeber Kohle locker macht oder eben eine weitere peinliche kritische Lücke öffentlich wird.
Ich erinnere hier mal an den letzten großen Exploit bei Microsoft. Ende Mai hat Google eine fette Lücke in einer XML-Bibliothek von MS gefunden, die bereits aktiv ausgenutzt wurde. Der passende Fix von MS kam Mitte Juli. Eine Lücke im Linux-Kernel oder anderen OSS-Produkten (z.B. Firefox oder Chrome/Chromium) wird hingegen üblicherweise innerhalb von bestenfalls ner Woche gefixt.

Fazit: Closed Source Software hat oftmals deutlich mehr Lücken, diese Lücken werden auch noch seltener entdeckt bevor der Wagen im Dreck steckt und, weil sich, außer den armen Anwendern die eh schon bezahlt haben, niemand um die Lücken schert werden sie dann auch erst nach 1-2 Monaten gefixt.... wenn überhaupt.
 
Wie gesagt beschäftige dich erstmal mit dem Begriffen Security, dann wirst du erkennen, dass das alles andere als "weit hergeholt" ist.

Dass Open Source theor. mehr geprüft werden kann bestreite ich nicht, dass du das aber pauschalisiert ist fahrlässig. Java ist auch OS und hatte schon schwerwiegende Lücken. Bleib doch also bitte realistisch...
 
Microsoft und Sicherheit... 2 Worte, die gegensätzlicher kaum sein könnten.
Microsoft haben eine lange und erbärmliche Geschichte von peinlichen Sicherheitslücken und laaaaaaang verzögerten aber dringend nötigen Bugfixes. Die Aktion mit der XML-Lücke im Mai war ja nur (bis jetzt) die letzte Spitze des Lückenberges. Muss ich dich z.B. an die gute alte Lücke in der JPEG-Bibliothek erinnern, die jedes System betroffen hat? Während für so ziemlich jede Linux-Distri ein Fix innerhalb einer Woche nach Bekanntwerden bereit stand wurde die Lücke damals unter Windows (ich denk, es war XP) erst nach gut 2 Monaten gefixt. All Hail Microsoft, hm? Die arbeiten getrost nach dem Motto: Wir haben das Geld, sollen andere die Probleme haben.

Niemand tut sich einen Gefallen, wenn er den Internet Explorer überhaupt einsetzt. Und niemand tut sich einen Gefallen, wenn er ihn für sicherer als die Konkurrenz hält. Allein dieser Patch-Zyklus... wenn der Patch zum Patch-Mittwoch nicht fertig ist, dann kommt der Patch halt einen Monat später... Geile Idee. Richtig geil. Wenn bei Chrome oder FF ne Lücke geschlossen wird, dann wird sie geschlossen. Auch an einem Freitag abends um 10. Patch fertig -> Autoupdate bereitstellen.... und nicht bis zum nächsten Monats-Patchday warten.

Das BSI verfährt hier genau richtig, indem es schlichtweg zum Wechsel des Browsers rät. Die sollten hierbei noch einen Schritt weiter gehen und direkt sagen: ...und bleibt auch bei der Alternative.
 
Also ein sehr interessanter Bericht. Den IE nutze ich seit jahren immer wieder und dies aus verschiedenen Gründen.

Nur wenn ich an meine Erfahrungen mit anderen Browsern denke, wurde ich beim Firefox & Co. öfters angegriffen, als beim IE. Egal in welcher Version.

Beim Firefox aktivere ich unter Einstellungen / Inhalt die entsprechende Javascript Funktion und das komplette Javascript ist aktiviert. Um hier besser zu konfigurieren, brauche ich irgendwelche AddONs. Sehr sinnvoll. Und die telefonieren auch erstmal.

Der IE macht es besser, aber durch MS Unfähigkeit leider umständlicher. Denn was in den Sicherheitsheitsfunktion in den Internetoptionen an Funktionen vorhanden ist, bietet kein anderer Browser. Doch ähnlich. Der ältere Browser K-Meleon. Der hat(te) vieles drin, wird aber leider, leider nicht mehr weiterentwickelt.

Seit dem ich mal über den Firefox gehackt wurde, nutze ich ihn nur noch zu 1 Prozent. Und weil auch Google seine Hände im Spiel hat.

Alle meckern über die Sicherheit vom IE. Das stimmt zwar, weil zu wenig gemacht wird. Aber meine Erfahrungen sagen, dass die alternativen Browser mehr telefonieren als der IE selber.

Bei jeder neuen Version und oder Update vom Firefox, Opera etc. muss ich erstmal so rumkonfigurieren, dass nicht mehr telefoniert wird. Und ich meine nicht die Updatefunktion.

Startet mal bitte den Firefox und/oder Opera in Standarteinstellungen und Ihr werdet euch wundern welche Verbindungen alleine zu Google wegen der entsprechenden Suchmachine aufbaut werden. Echt ächtzend.

Alle beschweren sich über Google, aber beim Browserstart von Firefox & Co. werden schon Infos an Google übermittelt, ohne dass Ihr eine Interseite aufgerufen habt. Sehr sicher.

Und seit dem Hack nutze als Sicherheitssoftware Oupost Firewal Pro 7.x. Und das Plugin von Oupost schützt mittlerweile den IE besser, als alle anderen Browser. Wenns so weiter weitergeht wird das noch zum Sicherheitsrisiko. Naja, ich kann die Security Version verwenden und/oder ein anderes Antivirenprogramm. Alles was z.B. mit Google zu tun hat, wird erstmal blockiert. Denn auch computerbase verwendet Google Scripts. Leider, leider.

Aber ich denke MS kommt, laaaaannnnnnnnnggggggsam, aber sicher in die Gänge, denn die merken, das vieles aus dem Ruder läuft. Aber halt zu langsam.
 
Na klar telefoniert der IE nicht nach Hause... das hat ja das zu Grunde liegende Windows bereits 1000x getan, was soll der IE da noch erzählen?

Außerdem übertragen die alternativen Browser bestenfalls eine kleine ID fürs Tracking, wie oft der Browser (und in welcher Version) verwendet wird, eine durchaus wertvolle Information für den Hersteller und KEIN wertvolles Geheimnis für dich. Spätestens wenn du irgend eine Webseite besuchst offenbart sich eh, welchen Browser du benutzt, außer du schreibst mit ewigem Stress die Agent-Kennung um. Macht kein Schwein, weils sinnfrei ist.

Übrigens wirfst du hier Tracking (das z.B. im Chrome schon seit Version 4 nicht mehr statt findet) und Hacking durcheinander, dass du gar nicht mehr klar unterscheiden kannst, was was ist. Du solltest dich vielmehr mal damit befassen, was wozu dient.

Und was JS angeht: Auch im IE kannst du keine bequemen Feineinstellungen vornehmen. Und selbst wenn, diese Feineinstellungen (wie sie z.B. bei NoScript möglich sind) sind durch die Bank weg schwachsinnig, denn sie sorgen für keinen Millimeter realistische Sicherheit. OK, du vertraust also den Scripts von computerbase.de, damit du das Forum voll verwenden kannst? Was aber, wenn ein HAcker bei CB eindringt und diese Scripts manipuliert. Da schützt dich KEINE JS-Filteroption davor. Da hilft nur: JS global aus oder sauber gepatchten Browser mit funktionierender Sandbox.
 
Hot Dog schrieb:
@K1ll3m4ll:

Dann benutzt du wohl den IE9. Hatte gehofft, dass du noch beim IE8 bist, da diesen die Mehrheit benutzt ;).
Weil beim IE9 hat es Microsoft doch tatsächlich durch den Acid3-Test geschafft. :lol:

Falsch ich benutze FireFox, ich habe auch nie behauptet das der IE kompatiebler ist wie andere Browser.
Ich hab wie gesagt nur Spaßeshalber mal deinen Link mit beiden Browsern geöffnet um zu sehen was kommt und beide haben halt 100 erreicht.
Naja was soll ich sagen bei Browsern kann man eigentlich nur empfehlen die neuste Version zu nehmen die verfügbar ist, rein von der Sicherheit her.

Ansonsten ist zu sagen, dass Sicherheitslücken (leider) immer vorhanden sind
und das wird sich wohl auch nie wirklich ändern.
Diese ist jetzt bekannt, Microsoft arbeitet an einem Fix mehr kann man meiner Meinung
nach nicht verlangen.
 
Daaron schrieb:
Microsoft und Sicherheit... 2 Worte, die gegensätzlicher kaum sein könnten.
Du beweist echte Kompetenz mit solch einer Aussage...

Microsoft haben Muss ich dich z.B. an die gute alte Lücke in der JPEG-Bibliothek erinnern, die jedes System betroffen hat? Während für so ziemlich jede Linux-Distri ein Fix innerhalb einer Woche nach Bekanntwerden bereit stand wurde die Lücke damals unter Windows (ich denk, es war XP) erst nach gut 2 Monaten gefixt. All Hail Microsoft, hm? Die arbeiten getrost nach dem Motto: Wir haben das Geld, sollen andere die Probleme haben.

Keine Ahnung was du damit außer MS Bashing ausdrücken willst, mit dem vorherigen, dass Standardsoftware öfters angegriffen wird, weil es lukrativer ist, hat das nichts zu tun.

Und niemand tut sich einen Gefallen, wenn er ihn für sicherer als die Konkurrenz hält. Allein dieser Patch-Zyklus... wenn der Patch zum Patch-Mittwoch nicht fertig ist, dann kommt der Patch halt einen Monat später... Geile Idee. Richtig geil. Wenn bei Chrome oder FF ne Lücke geschlossen wird, dann wird sie geschlossen. Auch an einem Freitag abends um 10. Patch fertig -> Autoupdate bereitstellen.... und nicht bis zum nächsten Monats-Patchday warten.

Ob er sicherer, im Sinne von weniger Lücken hat, ist oder nicht kannst du nicht beweisen. Dazu müsstest du die Software verifizieren, was auf der Ebene heutzutage nicht mehr möglich ist. Das einzigste, was du beweisen kannst ist, dass andere Hersteller schneller Patches bringen. Ob dadurch neue Lücken entstehen ist ebenfalls offen.

Ich verteidige hier nicht MS, da dieser Verein sich wircklich Vorfälle erlaubt, die nicht sein müssen und eigentlich auch nicht dürfen. Allerdings sind deine Aussagen nichts weiter als Bashing und größtenteils stumpfes Gelaber, ohne dass du dich scheinbar jemals mit dem Thema Security beschäftigt hast.

Daaron schrieb:
Übrigens wirfst du hier Tracking (das z.B. im Chrome schon seit Version 4 nicht mehr statt findet) und Hacking durcheinander,

Ich glaube er hat sich mal einen Trojaner/Virus eingefangen, wenn er von hacken spricht. Sofern er das damit mein hat er nichts durcheinander geworfen...
 
SB1888 schrieb:
Jo, da ich nicht auf wildfremden Seiten surfe bleib ich beim IE, juckt mich nicht die Bohne

Dumm nur, dass du dann auf GAR KEINEN seiten surfen darfst auch nicht auf Computerbase, denn es kam ja nun nicht nur ein mal vor, dass Werbebanner und anderer externer Content infiziert war.
 
Zurück
Oben