Sicherheitslücke im Internet Explorer!!! (buffer overflow)

[Der Meister (Jonas)]

hi!
ja, ich weiß, das ist hier kein security-news-board. aber da viel zu viele leute den IE nutzen, dachte ich, dass es doch so einige interessieren dürfte.
diese sicherheitslücke ist nämlich recht heftig. es handelt sich um einen buffer overflow, der es ermöglicht, dass beim aufruf ein website mit dem IE oder beim öffnen einer html-mail mit outlook oder outlook express beliebiger programmcode ausgeführt wird.

die betroffenen versionen sind IE5.01, IE5.5, IE6.0, outlook & outlook express unbekannt, weil microsoft nicht zugibt, dass sie auch betroffen sind.

tipps: IE und outlook (-express) vermeiden, benutzt andere browser (z.b. opera für alle, die eine wirklich guten wollen) und mailprogramme (z.b. eudora) gibts alles im netz.

für mehr informationen könnt ihr hier gucken:
http://neworder.box.sk/explread.php?newsid=7818

den patch von MS gibts hier:
http://www.microsoft.com/windows/ie/dow ... efault.asp

[Gero (Geri)]

Sag mal, Jonas, wirst du von den Herstellern von Opera für diese Schleichwerbung bezahlt? *g*

Jetzt mal im Ernst, du willst uns doch wohl nicht etwa erzählen, dass der Opera-Browser total fehlerfrei ist. Damit er genau das kann, was die anderen Browser auch können, müssen sich die Programmierungen und Plug-In's und der ganze andere Dreck doch ähneln, ergo der Opera-Browser genauso angreifbar sein wie die anderen, oder nicht?

[Der Meister (Jonas)]

nein, ich werde nicht für werbung bezahlt, opera ist einfach mein favorit bei browsern.
es ist falsch, aus der gleichen funktion zweier (oder mehrer) programme zu schließen, dass ihr code sich prinzipiell ähnelt. das würde zutreffen, wenn es sich um prinzipbedingte sicherheitslücken (es gibt z.b. einige im TCP) handeln würde, ein buffer overflow bedeutet dagegen, dass ein programmierer vergessen hat, z.b. die länge einer eingabevariablen zu überprüfen. solche dinge sollten bei sicherheitsrelevanter software, zu der browser und email-clients zweifellos zählen, möglichst nicht vorkommen.

natürlich ist opera nicht fehlerfrei. aber dass in der art der programmierung prinzipielle unterschiede bestehen, sieht man schon am geschwindigkeitsunterschied oder z.b. daran, dass opera7 komplett 'from scratch' neugeschrieben wurde, weil man den code für zu unübersichtlich (durch updates, veränderungen etc.) und damit buganfällig befunden hat. such mal vergleichbares vorgehen bei MS! undenkbar.

such doch mal ein bischen und liste mal alle bekannten (oder nur die sicherheitsrelevanten) bugs vom IE und von opera auf und vergleich mal die anzahl. bin gespannt, was rauskommt (lol).
ein weiteres sicherheitsplus ergibt sich schonmal automatisch, wenn man keinen mainstream-browser verwendet, weil angriffe eigentlich am ehesten auf die ausgelegt sind. ist ja auch logisch, weil man ja möglichst viele leute erreichen will, wenn man solche lücken (z.b. zum spionieren, viren verteilen oder dialer installieren) ausnutzt.

oder surf mal mit 20-30 fenstern gleichzeitig (kommt bei mir vor) und probiers einmal mitm IE und einmal mit opera aus ;)

btw. keine software ist fehlerfrei...

[Kristian]

oder surf mal mit 20-30 fenstern gleichzeitig (kommt bei mir vor) und probiers einmal mitm IE und einmal mit opera aus

Ich surfe nur mit Maximal 17 offenen Browsern (oder weniger, wenn ich andere Proggies laufen habe), denn ab da teilt sich die Taskleiste.

@ Gero: Es lohnt sich nicht einen Browser anzugreifen (bzw. es werden weniger Fehler gefunden), der zu wenige User hat. IE beherrscht ca. 80% des Browsermarktes. Ich mag Opera auch, aber diverse Seiten sind für IE angepasst und machen in Opera Fehler.

[Gero (Geri)]

Aber überlegt mal, was passieren würde, wenn Opera auch zu einem der meistbenutzten Browser wird, dann würde man auch da versuchen, die Sicherheitslücken ausfindig zu machen und diese auszunutzen.

[Sumpfm0nsta]

ihr habt probleme ................

[Kristian]

ihr habt probleme ................

Das ist die gleiche Frage on Gucci oder Joop, ob addidas oder Nike oder ob Mercedes oder BWM besser ist...nichts anderes.

[nele nebelfee]

dann hält sich der schwachsinn ja in grenzen...

[Der Meister (Jonas)]

Das ist die gleiche Frage on Gucci oder Joop, ob addidas oder Nike oder ob Mercedes oder BWM besser ist...nichts anderes. ;)

naja... dann müssten aber in den gucci-klammotten immer löcher sein, bei addidasschuhen immer die bänder abreißen und der mercedes müsste immer nen platten haben, dann würds hinkommen ;)

war ja nur gut gemeint... also mir sind die daten auf meinem pc zu wichtig/privat um zu riskieren, dass sie jemand downloaded oder löscht. dafür nehm ich auch in kauf, dass schlecht programmierte seiten (@gero (und alle andern die's nicht glauben ;-) ): doch, wenn die pages in opera nicht gehen hat sich der webdesigner meistens nicht an die html-standarts gehalten, und wenn das nicht nachlässig programmiert ist... (bestes beispiel: die MS-homepage)) nicht funktionieren.

greetz, da masta

[Gero (Geri)]

@Jonas:
Wie du sicherlich weißt, gibt es bestimmte Dinge an Webseiten, die für den Internet Explorer auf die eine Art und für den Netscape Navigator auf die andere programmiert werden müssen, obwohl im Endeffekt genau das gleiche dabei herauskommen soll. Also ein richtiger Standard ist das noch nicht.

[Der Meister (Jonas)]

das liegt daran, dass sich beide browser nicht an den existierenden standart halten, nicht daran, dass es keinen gibt.

[Sumpfm0nsta]

ihr habt probleme ................

Das ist die gleiche Frage on Gucci oder Joop, ob addidas oder Nike oder ob Mercedes oder BWM besser ist...nichts anderes.

dafür interessiere ich mich auch kein Stück...falls du das dachtest...wollt ich nur klarstellen

[Kristian]

Das habe ich auch nicht gedacht, waren einfach nur Beispiele.

[Sumpfm0nsta]

na dann is ja gut