Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücke im Internet Explorer entdeckt
Leider ist hier keinerlei Vergleichbarkeit gegeben, da Microsoft bekannterweise seinen Quelltext nicht offenlegt. Würde ein spezielles Analysetool dort nun sieben, 71 oder 700 potentielle Sicherheitslücken finden?
1. kannst du das beweisen das es "öfters" Probleme gab und "öfters" der Fix die Lücke nicht schloss und "öfters" durch den Fix 2 neue Lücken entstanden ? Es ist sicher schon vorgekommen ansonsten wüsstest du nichts davon, das "öfters" ziehst du dir aber aus den Fingern..
2.Dich mögen Testphasen vll. nicht interessieren, MS kann sich den Luxus aber nicht leisten.
3. Woher hast du das mit den grundsätzlichen 2-3 Monaten? Ich mein das es 2 oder 3x in diesem Jahr ein Fix für den Fix gab ist sicher vorgekommen aber gewiss kein Regelfall .
4. Wenn MS alles falsch macht dann nimm das Produkt nicht , das sagen dir selbst die Gelehrten des CCC "Nutze keine Software dessen Hersteller du nicht vertraust".
da wurde ein automatisches tool über den quellcode gejagt, und das meint das da fehler sind. das heist noch lange nicht das dort tatsächlich welche sind.
Also ich kann dir aus eigener Erfahrung sagen, dass automatische Tools immer (!) mehr Fehler in meinen Quelltexten finden als ich selber.
Wenn das Programm meint, dass hier oder da ein Fehler ist, dann ist das mit einer immens hohen Wahrscheinlichkeit auch so.
Also schieb's nicht auf das tolle Programm, die Fehler existieren.
Unterdessen melden die Avert Labs des Antiviren-Herstellers McAfee, dass das Cracker-Toolkit WebAttacker um einen VML-Exploit erweitert worden sei. Mit WebAttacker lassen sich im Handumdrehen manipulierte Webseiten erstellen, die Besuchern mit verwundbaren Browsern Schadsoftware unterschieben. Das Toolkit sei auf dem Schwarzmarkt für rund 15 Euro erhältlich. Es ist daher damit zu rechnen, dass sich in den kommenden Tagen die Zahl der Webseiten mit eingebetteten VML-Exploits stark erhöhen wird.
das einzige prob ist nur die patchs vom firefox können so schnell kommen wie sie wollen wenn dann aber danach immer noch so viele fehler da sind http://golem.de/0609/47695.html
warum findet man solche news ist hier bei computerbase ???? 71 potenzielle Sicherheitslücken im Firefox na wenn das keine news wert ist hier wird doch schonst über jede kleinigkeit beim windows oder iE ganze news verfasst wie schlecht das doch alles ist
Da steht *potentielle* Sicherheitslücken, das sagt nichts über die tatsächliche Anzahl von Sicherheitslücken oder Programmierfehlern aus und ob sie überhaupt ausgenutzt werden können. Ich empfehle folgenden Blogeintrag zur Lektüre, der sich mit der verwendeten statischen Analysemethode von Klocwork K7 beschäftigt: http://weblogs.mozillazine.org/roc/archives/2006/09/static_analysis_and_scary_head.html
@DeeJayTomek
"The problem is Klocwork, like most other static analysis tools, reports false positives"
Das dürfte eigentlich klar sein das man von der Stelle nichts anderes erwarten kann, eine unabhängige Quelle wäre da schon geeigneter.
"The problem is Klocwork, like most other static analysis tools, reports false positives"
Das dürfte eigentlich klar sein das man von der Stelle nichts anderes erwarten kann, eine unabhängige Quelle wäre da schon geeigneter.
Hast du dich schonmal näher mit statischer Analyse von C/C++-Quellcode beschäftigt? Wenn nein, dann lass dir gesagt sein, daß die oben zitierte Aussage von Robert O'Callahan vollkommen zutreffend ist.
Insgesamt ist die statische sicher eine gute Ergänzung zur dynamischen Softwareanalye (Mozilla setzt ja auch schon bereits seit einiger Zeit "Coverty" ein), allerdings sollte man die Ergebnisse halt kritisch betrachten, da die Methode bekannterweise Schwachstellen hat und zu false positives neigt und in diesem Fall die Ergebnisse auch vom Hersteller von Klocwork stammen, der sicherlich an vielbeachteten Schlagzeilen in der Presse interessiert ist.
Gut das die Sicherheitslücke entdeckt wurde und gut das sich Microsoft darum kümmert. Das ist die Quintessenz der News, die User zu warnen, das eine potentielle Gefahr endeckt wurde, eine mögliche Abhilfe/ Korrektur vorzuschlagen und zu informieren bis wann sich Microsoft darum kümmern wird. Dank dafür!
Der Unterschied ist, das (und egal wo man guckt) beim FF immer von potenziellen Lücken gesprochen wird, und beim IE sind es meist real existierende Lücken. Es mag zum einem an der Verbreitung der Browser liegen (dass man noch nicht die realen Sicherheitslücken gefunden hat), aber auch sicherlich daran, dass der IE wohl mehr als 71 potenzielle Lücken hat. Wenn es beim FF mal eine wirklich akute Lücke gab, wurde die auch sehr schnell wieder geschlossen. Aber fast einen Monat auf ein Patch warten? Beim IE kann ich es ja noch verstehen, da er kostenlos ist, aber bei Office? Ich bezahlen doch nicht so viel Geld, um dann einen Support zu bekommen, der unter aller Sau ist.
Ist nicht, neben dem IE, nur das Office 2007 betroffen, da es das 'neue' XML Format verwendet? Wenn ja, wer will MS daraus einen Strick ziehen? Afaik ist Office 2007 noch Betaware. Also Fehlerbehaftet. IE hin, Firefox her - Wichtig ist doch letztlich, von einer potentiellen Gefahr zu wissen. Was jeder dann mit dieser Information macht, bleibt jedem selbst überlassen...
Es ging mir hier nicht darum Überzeugungsarbeit für Mozilla/Firefox zu leisten, sondern einfach nur darum klar zustellen, dass Ergebnisse von statischer Quelltextanalye kritisch betrachtet werden müssen und sich ein Großteil von *potentiellen* Sicherheitslücken in der Realität als entweder Falschalarm herausstellt oder es zumindest keine Möglichkeit gibt den gefundenen Fehler auszunutzen.
Eine S.-Lücke wurde bei der IE gefunden und die andere Browser wie Opera und FireFox benutzen das gleiche dll-file. Sollte man so verstehen, dass die zwei auch die gleiche S.-Lücke besutzen ?
Firefox ist allein deshalb schon sicherer, da er nicht derart tief im Betriebssystem verankert ist. Eine Lücke im Internet Explorer hat weitreichendere Folgen, denn selbst wenn ein Benutzer nicht mit Administratorrechten angemeldet ist, kann sich ein Programm, das eine Lücke im IE ausnutzt, vollständige Rechte über den Computer verschaffen. Der Benutzer mit seinen eingeschränkten Rechten steht dann dumm da wenn er sieht, dass sein Rechner gerade geentert wird und er nichts dagegen tun kann da sich die Tasks erfolgreich vor ihm schützen indem sie einfach mit SYSTEM-Rechten laufen. Ein nicht-Administrator-Konto kann solche Tasks nicht abschießen.
FF hingegen läuft vollständig mit eingeschränkten Rechten, so denn ein Benutzer sein Konto entsprechend einstellt. Also kann auch eine Sicherheitslücke nicht greifen, weil die eingeschleuste Software durch den nicht im Windows verankerten Firefox sich nicht höherrechtlich einstufen kann.
