News Internet Explorer: ftp-Funktion ist unsicher

Rouven

Quoten-DJ
Dabei seit
Juni 2001
Beiträge
131
Wie nun entdeckt und bekannt gegeben wurde, herrscht in der ftp-Funktion des Internet Explorers in der Version 6.0 offenbar ein Sicherheitsleck, über das Angreifer Dateien in beliebigen Verzeichnissen des Computers speichern können. Auch ein Überschreiben existenter Dateien ist damit möglich.

Zur News: Internet Explorer: ftp-Funktion ist unsicher
 

athlonforever

Commander
Dabei seit
Feb. 2004
Beiträge
2.553
wer hätte es gedacht ...

ne mal im ernst bei MS ist doch fast alles unsicher da schockt mich so ne meldung nicht.

ich hab & bleibe bei Firefox.
 

k7power

Lt. Junior Grade
Dabei seit
Juni 2003
Beiträge
438
Na dann will ich mal sehen, wie ihr die FTP Funktion von Firefox benutzen wollt ;). Man muss dafür ein Plugin installieren und da weiss man auch nicht mehr, wer das Plugin gemacht hat und wie sicher das ist.
 

Volvo480

Ensign
Dabei seit
Dez. 2004
Beiträge
154
Also der Fehler wurde am 25.12.2004 gemeldet und ihr bzw. der "Entdecker" seid empört darüber, dass der Patch noch aussteht!!! Hallo???
Die Mitarbeiter bei MS haben/hatten auch Weihnachten/Neujahr...

Da arbeiten auch nur Menschen. Keine Maschinen!

Patches/Fixes usw. müssen getestet werden - das dauert nunmal.
Auch bei Firefox und Co... ach nee, da arbeiten ja die Freaks/Enthusiasten 24/7 dran...

BDD
 

Ganto

Ensign
Dabei seit
Okt. 2003
Beiträge
253
Zitat von k7power:
Na dann will ich mal sehen, wie ihr die FTP Funktion von Firefox benutzen wollt ;). Man muss dafür ein Plugin installieren und da weiss man auch nicht mehr, wer das Plugin gemacht hat und wie sicher das ist.
bitte erkläre doch mal genau was du meinst. firefox kann standardmässig genau gleich viel ftp wie der internet explorer auch. und wer für ftp einen webbrowser braucht, dem ist eh nicht zu helfen... :rolleyes:

ganto
 

hoschieee

Lieutenant
Dabei seit
Aug. 2003
Beiträge
756
@4)
An deinem Post merkt man ziemlich eindeutig dass du noch nie auf der Extension-Website des Mozilla-Projektes gewesen bist.


@6)
Er meint den FTP-Client seines Windows-Betriebssystems, den wie der IE ebenfalls in die Windows GUI eingearbeitet wurde. Hier geht es aber um die Funktion seine Browser per FTP-Protokoll FTP-Webserver zu besuchen, dies ist aber eine ganz normale Funktion, genau so wie die Möglichkeit per HTTP/S Webdokument anzufordern.

Also hat er drei Fehler auf einmal gemacht:
- Falsche Aussagen über die Extensions des Mozilla-Projektes (man kann sehr wohl den Autor, sehr leicht heraus finden)
- Er meint der Windows FTP-Client sei Teil des Windows Internet-Explorers (ist es nicht, es ist wie der IE lediglich in die Windows-GUI eingearbeitet, genauso wie der Dateibrowser)
- Er verwechselt (um den Hattrick zu schaffen!) FTP-Client mit dem betrachten von FTP-Seiten mit hilfes des Browser.

@4 (nochmal):
Gratulations, so viel Fehler in einer Aussage ;)

@7) Ohne den Source-Code und gute C/C++ Kenntnisse werde ich dazu keine Aussage abgeben, im Zweifelsfall sage ich aber aus Erfahrung gegen den Angeklagten aus *gg*
 
Zuletzt bearbeitet:

hoschieee

Lieutenant
Dabei seit
Aug. 2003
Beiträge
756
Ich hätte auch noch ein paar:
gFTP als GTK FTP-Client für Linux, kann man als State of the Art betrachten *gg*
Filezilla als Windows FTP-Client
und für Firefox-Fans (wobei er schon sehr spartanisch ist, ist ja auch noch in der Entwicklung) der "firefox-ftp" als Extension für Mozilla-Firefox

Ach ja, und natürlich jede vernünftige Shell (dann liesst man mal wenigstens wieder die Willkommens Nachricht):D
 

Tempest

Cadet 3rd Year
Dabei seit
Feb. 2004
Beiträge
47
Der IE ist eine einzige Sicherheislücke im System....bei mir schon lange aus dem System geflogen...war zwar umständlich aber jetzt bin ich wenigstens etwas sicherer
 

Sherman123

Fleet Admiral
Dabei seit
Nov. 2002
Beiträge
12.326
Die Lücke ist völlig ungefährlich.
Man muss die Datei erst ausführen, bevor soetwas passiert. Durch diese Lücke kann ein Angreifer einen manipulierten FTP Server nutzen eine Datei auf den PC zu schmuggeln.

Ausführen muss sie noch immer der Benutzer. Davor sollte aber ein Virenscanner warnen.
 
G

Gammler

Gast
was ein kommentar @2...windows ist das meisgenutzte OS was es gibt, sprich die meisten hacker spezifieren sich auf dieses OS, somit ist es ganz klar, das bei diesem OS wesentlich mehr Sicherheitlücken gefunden werden als bei LINUX/UNIX, etc.....

also erst denken dann schreiben ;)
 

MountWalker

Fleet Admiral
Dabei seit
Juni 2004
Beiträge
12.865
Zitat von Sherman123:
Die Lücke ist völlig ungefährlich.
Man muss die Datei erst ausführen, bevor soetwas passiert. Durch diese Lücke kann ein Angreifer einen manipulierten FTP Server nutzen eine Datei auf den PC zu schmuggeln.

Ausführen muss sie noch immer der Benutzer. Davor sollte aber ein Virenscanner warnen.
Du hast das Problem leider nicht verstanden, am besten du liest dir die Nachricht einfach noch einmal in Ruhe durch. Diese Lücke kann zB. dazu führen, dass ich einfach nur mit dem IE eine Datei vom FTP-Server herunterladen will, dafür auf die Datei und dann "save target as" bzw. "speichern unter" klicke und dort eintrage das Programm soll da und da mit Namen XY gespeichert werden und obwohl ich das so eingetragen habe wird die Datei ganz woanders möglicherweise unter anderem Namen gespeichertund kann dabei auch andere Dateien überschreiben. Ist ein Anwender mit Admin-Rechten unterwegs (wie ja fast jeder Windozer) kann ich ihm zB. im FTP-Verzeichnis-Baum anzeigen "Kuddelmuddel.mp3" , gebe der Datei aber die Attribute als avast4.ini in /mnt/win_c2/Programme/Alwil Software/Avast4/DATA gespeichert zu werden und wenn der Anwender Avast als Virenscanner benutzt wird sich Avast nachdem es beendet wurde nicht mehr starten lassen, weil die ini fehlt. Baut man darauf, dass dieser Mensch jetzt nicht weisz, warum Avast nicht mehr starten kann, was ja schonmal warscheinlich ist, könne man annehmen, dass die Hälfte der in dieser Situation befindlichen Menschen nicht das Programm neuinstallieren, sondern erstmal im Internet nach Antworten suchen, für diese Zeit ohne Virenscanner versteht sich. Auf ähnliche Weise könnte man auch die verbreiteten Sygate, Kerio und ZoneAlarm Personal-Firewalls mal eben vorrübergehend ausschalten. Der Anwender tat nichts weiter als die Datei Kuddelmuddel.mp3 in seinen Download-Ordner herunterzuladen, nichts weiter, er hat keine Datei ausgeführt. ;)

'''''''''''''''''''''''''''''''''
Zitat von Gammler:
was ein kommentar @2...windows ist das meisgenutzte OS was es gibt, sprich die meisten hacker spezifieren sich auf dieses OS, somit ist es ganz klar, das bei diesem OS wesentlich mehr Sicherheitlücken gefunden werden als bei LINUX/UNIX, etc.....

also erst denken dann schreiben ;)
Apache ist der kommerziell meistgenutzte Webserver den es gibt, sprich die meisten Hacker spezifizieren sich auf Apache-Webserver, somit ist es ganz klar, dass bei Apache-Webservers wesentlich mehr Sicherheitslücken gefunden werden als bei Microsoft Internet Information Services, etc MOMENTEMAL Bei Apache wurden weniger Fehler gefunden als bei Microsofts "Internet Information Services". Was lernst du daraus? Beim nächsten mal hoffentlich nicht wieder diese unwahre Kamelle aus dem alteingestaubten Hut zaubern und einsehen, dass Popularität eben nicht alles ist was viele von Microsofts Produkten unsicherer als Konkurrenzprodukte macht. ;)

Das ist Apache
 
Zuletzt von einem Moderator bearbeitet: (Lexikon-Link korrigiert)

FH16

Lieutenant
Dabei seit
Dez. 2003
Beiträge
688
Nur stellt sich die Frage, wie effizient es für jemanden ist, diese Sicherheitslücke auszunützen. Für die Verbreitung eines Virus eignet sie sich ja schomal nicht...

Klar, Sicherheitslücken sind nicht cool. Aber manche sehen das Meiner Meinung nach ein Bisschen zu eng...
 

Ganto

Ensign
Dabei seit
Okt. 2003
Beiträge
253
Zitat von hoschieee:
@6)
Er meint den FTP-Client seines Windows-Betriebssystems, den wie der IE ebenfalls in die Windows GUI eingearbeitet wurde. Hier geht es aber um die Funktion seine Browser per FTP-Protokoll FTP-Webserver zu besuchen, dies ist aber eine ganz normale Funktion, genau so wie die Möglichkeit per HTTP/S Webdokument anzufordern.

Also hat er drei Fehler auf einmal gemacht:
- Falsche Aussagen über die Extensions des Mozilla-Projektes (man kann sehr wohl den Autor, sehr leicht heraus finden)
- Er meint der Windows FTP-Client sei Teil des Windows Internet-Explorers (ist es nicht, es ist wie der IE lediglich in die Windows-GUI eingearbeitet, genauso wie der Dateibrowser)
- Er verwechselt (um den Hattrick zu schaffen!) FTP-Client mit dem betrachten von FTP-Seiten mit hilfes des Browser.

@4 (nochmal):
Gratulations, so viel Fehler in einer Aussage ;)
naja, ist ja was ich gesagt habe. man kann es auch lieb ausdrücken. ;) :)

ganto
 

daggett

Ensign
Dabei seit
Feb. 2004
Beiträge
149
Mei, benutzts halt den Fox!
IE = Tag der offenen Tür!!!! und das jeden Tag.
 

MaverickM

20k Fleet Admiral
Dabei seit
Juni 2001
Beiträge
21.259
@18: Ich benutz auch den Firefox, trotzdem isses horrend, dass der IE praktisch ein einziges Sicherheitsloch ist, wie oben schon jemand so treffend erwähnte. Traurig, aber wahr.
 

BSDDaemon

Banned
Dabei seit
Juli 2004
Beiträge
199
@FH16

Wer lesen kann ist klar im Vorteil, Windows2000 Nutzer sind weiterhin ohne Schutz... und nicht nur bei der Lücke. Einige Firmen die ihre Software noch nicht anpassen und deswegen das SP1 nutzen sind auch betroffen. Tja... da sieht man wie krank MS versucht Leute zu Update -grade zu bewegen.
 
Top