ComputerBase Menü
Aktuelles

News Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren

Shririnovski schrieb:
Das ändert aber doch nichts an der Tatsache, dass MS nicht mehr hätte tun müssen als via Windowsupdate die entsprechende Domain clientseitig raus zu nehmen. Die Lücke basiert ja genau darauf, dass der Dienst in Windows noch da ist und glaubt das die Gegenstelle noch existiert.
Zum Vergrößern anklicken....

Was willst du da "clientseitig rausnehmen"?? Da gibts nichts clientseitig rauszunehmen. Die Kachel soll Daten von "notifications.buildmypinnedsite.com" abrufen - die Kachel holt Daten von dieser URL. Thats it... Es ist nicht die Aufgabe des Herstellers vom Betriebssystem dafür zu sorgen dass der User nicht URLs aufruft, die es nicht mehr gibt. Sondern das ist das Bier des Users.

Shririnovski schrieb:
... und der User ist Schuld? Der User, der diesen eingestellten externen Dienst garnicht mehr nutzen kann?
Zum Vergrößern anklicken....
Ja, im Grunde genau das. Löse dich doch einfach mal von der Annahme, dass der Anbieter eines Dienstes auf unabsehbare Zeit eine Verpflichtung ggü. allen Nutzern die irgendwann mal existiert haben, hat. Sowas gibts nicht. Kein Gesetz der Welt verpflichtet einen Provider in welcher Form auch immer zu einer Pflicht auf ewig und drei Tage.

Passt dir als User nicht? -> dann wäre jetzt der Punkt sich einmal Gedanken zu machen ob es so sinnvoll ist, mit Kusshand diese Clouddienste in Anspruch zu nehmen oder es nicht vielleicht lieber doch anders zu machen??

Shririnovski schrieb:
Sorry, aber die einzige Logik, die hier greift ist: Sicherheitslücke im Betriebssystem ist vorhanden und bekannt, der aktiv für die Aktualität dieses Systems Verantwortliche ist also in der Bringschuld. Er sollte diese Lücke zeitnah schließen.
Das Betriebssystem ist hier Windows, daher ist Microsoft in der Bringschuld und sollte zeitnah patchen. Dass der Verursacher dieser Lücke nun auch Microsoft heißt, das spielt eigentlich garkeine Rolle. Das ist blos ein gefundenes Fressen für Kritiker.
Zum Vergrößern anklicken....
Die Kachel macht genau das, was der User höchstselbst eingerichtet hat. Wenn du mit deinem Auto gegen die Wand fährst, fährt es gegen die Wand. Warum sollte der Hersteller nun schuld sein, dass du gegen die Wand gefahren bist? Du als User hast doch selbst dafür gesorgt, dass die Kachel sich Daten aus der Cloud besorgt - du bist auch selbst dafür verantwortlich.

Nur das wir uns nicht falsch verstehen - das ist keine Verteidigung Microsofts, sondern betrifft im Endeffekt Jeden anderen auch. Mich persönlich stört dieses völlig grundlose rumgehype von Themen, wo selbst die Autoren dieser Meldungen technisch nichtmal die Basis verstanden haben. Google mal bitte danach was ein CNAME-Nameserver sein soll. Technisch ist das ziemlicher Stuss. Bei derartigen Meldungen gehts primär um Aufmerksamkeit - Microsoft als global Player kommt da wie gerufen, weil es Aufmerksamkeit erzeugt. Und ihr, springt auf solche Hate-Trains auch mit auf... :(

Shririnovski schrieb:
Übrigens: dieser eingestellte Dienst hat den Code generiert, den es braucht um diese RSS-Kacheln zu nutzen. Ohne den Dienst, aber mit der Lücke, kann nun der Besitzer der Domain über diese offene Schnittstelle seinen Code ins Startmenü pflanzen. Oder auch: Du hast evtl. ohne Vorwarnung zig neue Kacheln im Startmenü, die alle fiese Malware Links enthalten.
Zum Vergrößern anklicken....
Das was hier geschieht kann man nicht Sicherheitslücke nennen. Die Kachel macht das was sie soll. So wie jede App und jede Anwendung auch. Der Unterschied ist nur, dass hier Microsoft als IT Riese für etwas verantwortlich gemacht wird, was zu hunderten und tausenden Fällen auf der ganzen Welt schon passiert - und wo kein einziger groß ein Wort drüber verliert.
Wenn man es genau nimmt ist die Möglichkeit des "Loswerdens" einer Domain, gerade auch bei Insolvenz von Firmen und Einstellung dessen Services schlicht ein Problem, was in der IT Keiner betrachtet.
Schau dir allein einfach mal an was dein Client mit all der Software die du da drauf selbst installierst, für Ziele im Netz versucht aufzurufen -> dir wird schlecht, wenn du wüsstest was da alles passiert und versucht wird.


Im übrigen kannst du da nicht zig neue Kacheln ins Startmenü pflanzen - woher nimmst du das? Hier gehts um das Update der von dir als Nutzer hinterlegten Kachel - nicht um das Einfügen weiterer. Bitte keine Unwahrheiten verbreiten - so entsteht nämlich irgendwelche Panik, weil irgendwo irgendwer irgendwas behauptet hat.
 
  • Gefällt mir
Reaktionen: Oberst08, adretter_Erpel, Grestorn und eine weitere Person
Ähm....Microsoft stellt einen Dienst ein und gibt die Subdomain dafür frei, so dass diese von jedem x-beliebigen Interessenten neu registriert werden kann, ändern den Verweiß auf die Subdomain nicht mal und da soll der Fehler nicht bei MS liegen?

Finde ich sehr gewagt die These.
 
  • Gefällt mir
Reaktionen: Shririnovski und Zero_Point
mischaef schrieb:
ändern den Verweiß auf die Subdomain nicht mal
Zum Vergrößern anklicken....
Jepp, eigentlich bräuchten sie ja nur den CNAME zu ändern damit das ganze ins Leere läuft und es könnte nichts mehr passieren.
 
Dafür gibt es die Quellenangaben unten. Wer nicht bis dahin liest, ist selber Schuld. Das ist die übliche Gangart.

Und nein, man hätte nicht Golem, sondern den Autor benennen müssen, er ist freier Journalist, Finder der Lücke und dürfte Golem den Beitrag somit nur angeboten haben. Und er wurde genannt - mehrfach. Somit stehen beide auf der Seite.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Fritzler, Shririnovski und new Account()
new Account() schrieb:
Kann man die Option nun eigentlich noch für CB nutzen? Und wenn ja, wie?
Zum Vergrößern anklicken....
ComputerBase unter Windows 8 mit dem Internet Explorer aufrufen und die Kachel hinzufügen. Siehe die verlinkte News: https://www.computerbase.de/2012-11/computerbase-kachel-fuer-windows-8/

In Windows 8.1 kann die Live-Tile nicht nur einen Zähler, sondern auch Inhalt anzeigen: https://www.computerbase.de/2013-07/computerbase-kachel-fuer-windows-8.1-aufpoliert/

Das sollte auch jetzt auch noch so funktionieren. Im Gegensatz zu einigen anderen Websites generieren wir das LiveTile-XML selbst. Was jetzt kaputt ist, ist nur ein von Microsoft bereitgestellter Dienst (http://www.buildmypinnedsite.com/), mit dem Websites das Generieren des LiveTile-XML an Microsoft auslagern konnten. Diesen Dienst haben offenbar auch ein paar größere Websites genutzt, deren Live-Tiles jetzt nicht mehr funktionieren. Pauschal kaputt sind LiveTiles dadurch jetzt nicht.

Unter Windows 10 können Live-Tiles soweit ich weiß keine Inhalte mehr anzeigen, sondern nur noch einen Zähler (also wie unter Windows 8).
 
  • Gefällt mir
Reaktionen: ReVan1199 und new Account()
Mit Linux wär' das nicht passiert ;) duckundweg
 
  • Gefällt mir
Reaktionen: linuxxer und Bigfoot29
mischaef schrieb:
Finde ich sehr gewagt die These.
Zum Vergrößern anklicken....

Was ist da bitte gewagt dran?
Jedes Unternehme was irgendwann mal eine Domain besaß und aus welchen Gründen auch immer Pleite, keine Lust mehr darauf oder sonstwas hat, was es dazu verleitet hat, die Domain/die Einträge nicht mehr zu nutzen erzeugt exakt das selbe Problem.

Das Problem besteht schlicht und ergreifend daran, dass jeder Hinz und Kunz im Netz Domains registrieren kann wie er Lustig ist, solange diese Frei sind. Gefolgt von der Thematik, dass Domains nach Freigabe des "Besitzers" für Dritte (weiter) nutzbar sind. Es gibt keine Regeln die sowas verhindern und lädt damit natürlich zum Missbrauch ein.


Hier gehts aber rein um Microsoft als IT Riese - und der Schlagzeile die ihr daraus erzeugt.
Der Nutzer ist hier das Problem - er nutzt nen Dienst den es nicht mehr gibt. Jede Wette, es gibt irgendwo in den Weiten des Netzes/der Microsoft Seiten ein Anouncement zur Einstellung des Services. Interessiert nur keinen, weil keiner solche Meldungen ließt. Das läuft wie immer - der User googlelt nach einer Anleitung, landet irgendwo bei YT Videos, in Forenposts oder auf Blogs, wo das irgendwo beschrieben wurde - er versteht nicht was er da tut, hämmert den Spaß 1:1 in sein System und freut sich, dass es geht. Kommt dann der Punkt andem irgendwas nicht mehr geht, sucht er nen Schuldigen nur um sich bloß selbst nicht einzugestehen, das er hier einfach nicht nachsichtig genug war.



Übrigens, Microsoft hat den CNAME Eintrag mittlerweile gelöscht - nur so als Randinfo. Beim nächsten mal betrifft es aber vllt einfach eine Domain, welche gänzlich freigegeben wird. Diese schnappt sich ein Dritter und impft damit irgendwelchen Schmuh in die Systeme unwissender User.
Ergänzung ()

lemba schrieb:
Mit Linux wär' das nicht passiert ;)duckundweg
Zum Vergrößern anklicken....

Unsinn - mit JEDEM System wäre das passiert. Leider ging das aus dem Newstext nicht hervor. Zumindest ist der Text nach der Änderung seitens Steffen jetzt technisch nicht mehr ziemlicher Unsinn.
Ergänzung ()

Jesterfox schrieb:
Jepp, eigentlich bräuchten sie ja nur den CNAME zu ändern damit das ganze ins Leere läuft und es könnte nichts mehr passieren.
Zum Vergrößern anklicken....

Und morgen schmeißen sie die Domain weg - ein Dritter registiert sich diese neu, erzeugt den Eintrag wieder und das Problem ist wieder da.
Was bringt das wirklich? Das Thema ist hier weiterhin, dass der Nutzer überhaupt nicht weis was er da fabriziert hat. Hier wäre Aufklärung sinnvoller als Schuldzuweisung durch die Medien...
 
  • Gefällt mir
Reaktionen: new Account()
fdsonne schrieb:
Hier wäre Aufklärung sinnvoller als Schuldzuweisung durch die Medien...
Zum Vergrößern anklicken....
Jepp, das ist nicht von der Hand zu weisen. Denn auch wenn MS geschlampt hat so ist trotzdem jeder der diesen Dienst verwendet irgendwo auch mit verantwortlich dafür was dieser so treibt und den Benutzern auf den PC liefert. Mit der Einstellung des Dienstes seitens MS hätten also die Webseitenbetreiber die Meta-Codes von ihrer Seite entfernen müssen, dann wäre auch nichts passiert.
 
fdsonne schrieb:
Jedes Unternehme was irgendwann mal eine Domain besaß und aus welchen Gründen auch immer Pleite, keine Lust mehr darauf oder sonstwas hat, was es dazu verleitet hat, die Domain/die Einträge nicht mehr zu nutzen erzeugt exakt das selbe Problem.
Zum Vergrößern anklicken....
Es handelt sich hierbei um ein Subdomain Takeover. Die Domain und die DNS-Einträge sind waren jederzeit unter der Kontrolle von Microsoft. Die Firma ist auch nicht pleite.
Das mindeste, was man hätte machen können ist Subdomains abgeschalteter Dienste in eine Blacklist aufzunehmen. Noch besser wäre ein Certificate Pinning in der Kachelanzeige gewesen, so dass die Dienste nicht mit anderen Leuten reden, die zufällig mal die Kontrolle über die Domain erhalten.

fdsonne schrieb:
Der Nutzer ist hier das Problem - er nutzt nen Dienst den es nicht mehr gibt
Zum Vergrößern anklicken....
Wenn der Dienst abgeschaltet wird und nicht mehr funktioniert, ist das eine Sache. Wenn er anschließend jedoch offen wie ein Scheunentor für bösartige Akteure aller Art steht, dann ist das eine ernste Angelegenheit.

Subdomain Takeover ist auch nichts neues, der Autor hat in der Vergangenheit schon ähnliche Probleme dieser Art aufgedeckt.
fdsonne schrieb:
Unsinn - mit JEDEM System wäre das passiert.
Zum Vergrößern anklicken....
Welches (Linux-)System hat denn noch derartige Funktion? Nenn doch mal eins.

fdsonne schrieb:
Übrigens, Microsoft hat den CNAME Eintrag mittlerweile gelöscht - nur so als Randinfo.
Zum Vergrößern anklicken....
Dass sie ihn klammheimlich gelöscht haben ohne an den Entdecker des Problems auch nur eine Zeile zu schreiben oder eine öffentliche Erklärung abzugeben, das ist gut und schlecht. Gut ist, dass der Missbrauch jetzt unterbunden ist. Schlecht ist die Art und Weise, wie Microsoft hier kommuniziert und ihre Anwender und den Sicherheitsforscher behandelt hat.
 
  • Gefällt mir
Reaktionen: Steffen
@mischaef: Es gab bei Golem ein Update. MS hat stillschweigend die DNS-Einträge gelöscht. Entsprechend ist der Angriffsvektor wohl nicht mehr gegeben.

Regards, Bigfoot29
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MORPEUS
Windows lässt sich nicht installieren → Linux?
2
Antworten
33
Aufrufe
1.711
Espero
Espero
D.S.i.u.S.
Von Windows 11 auf Arch Linux - Kurzer Erfahrungsbericht
2 3 4
Antworten
79
Aufrufe
9.914
D.S.i.u.S.
D.S.i.u.S.
T
Fehlerhaftes Windows Update lässt sich nicht entfernen oder beheben
Antworten
5
Aufrufe
2.658
Terrier
T
kim88
Leserartikel WSL2: Eine Brücke zwischen Windows und Linux – Einblick aus der Perspektive eines Linux-Nutzers
Antworten
18
Aufrufe
4.587
0815burner
0815burner
andi_sco
Leserartikel Einst zog die Industrie aus, das Feld der 3D-Wiedergabe zu erobern
Antworten
19
Aufrufe
1.641
Kraeuterbutter
Kraeuterbutter
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz