Neue Kritische Sicherheitslücke im Internet Explorer

[Lemmi]

Ein schon im Juli entdeckte Sicherheitslücke in Microsofts Internet Explorer ist gefährlicher als ursprünglich angenommen. Über die DoS-Schwachstelle (Denial of Service) kann auch beliebiger Code eingeschleust und ausgeführt werden. Anfänglich wurde davon ausgegangen, dass die Lücke bloss den Browser zum Absturz bringen könne. Jetzt allerdings hat H.D. Moore einen Exploit veröffentlicht, der beweist, dass das Loch viel bedrohlicher ist. Experten stellen sich nun die Frage, wie viele der im Juli entdeckten Löcher im Internet Explorer ebenfalls schlimmer sind als ursprünglich angenommen.

Microsoft beschreibt in diesem Security Advisory wie man mittels einer Änderung in der Registry dieses eine ActiveX-Control im Internet Explorer deaktiviert. Dazu muss folgender Code in eine Textdatei kopiert werden. Diese wird dann nach .reg umbenannt und mittels eines doppelten Klicks ausgeführt. Nun noch die Warnmeldung wegklicken und nun sollten die beiden kritischen ActiveX-Controls „DirectAnimation“ und „WebViewFolderIcon“ deaktiviert sein.

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e5df9d10-3b52-11d1-83e8-00a0c90dc849}]
"Compatibility Flags"=dword:00000400

Im Anhang befindet sich die fertig Datei.

[konrad]

Betroffen:

Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, or on Microsoft Windows XP Service Pack 1

Internet Explorer 6 for Microsoft Windows XP Service Pack 2

Internet Explorer 6 for Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1

Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, Microsoft Windows Server 2003 x64 Edition, and Microsoft Windows XP Professional x64 Edition

Quelle: Microsoft, siehe oben (Sec.Ad.)

Mit IE7 RC1 kann ich mich also (erstmal) "sicher" fühlen

[expocityvoice]

Sicher ist bisher nur eines;
bei ca. 45Mio Codezeilen, bei denen der letzte Coder nicht mehr weiß, was der bereits verstorbene 50. Coder verzapft hatte,
ist überhaupt nichts sicher ! (2003 Server über 50Mio)
Erinnern wir uns an das "selige" UrBasic; wer vergessen hatte, oder zu faul war zu dokumentieren, wußte bei den
vielen "Goto" und "Gosub" nach einer Woche kaum noch, was er da programmiert hatte.
Da hilft auch keine Neuauflage, wie Vista oder Ähnliches, weil alle nur Derivate des Urpsrungsprogrammes sind.
Die beste Lösung ist immer noch "Open Source", weil sofort reagiert werden kann und Lücken somit, dem Internet sei Dank,
fast verzögerungsfrei geschlossen werden können.
Völlig sicher ist man natürlich überhaupt nicht; das Internet ist nun einmal keine Einbahnstrasse.

[Joerg]

Das OpenScource schon dafür verwendet wurde, um eine Sicherheitslücke einfach und schnell erst zu verbreiten wird natürlich gerne mal unter den Tisch fallen gelassen. OpenScource reagiert schneller als MS, was nicht verwunderlich ist, aber von "fast verzögerungsfrei" zusprechen ist geradezu utopisch optimistisch. Wenn Linux die Verbreitung von Windows hätte, dann wären darüber genauso viele Sicherheitslücken bekannt. Aber für böse Buben ist Windows nunmal das lohnendere Ziel.

Ich war eigentlich der Überzeugung, dass alle mittlerweile kapiert haben, dass Linux, Windows bis zum Solaris nur so sicher ist wie der, der davor sitzt. Ich nutze soweit es geht onboard Mittel und habe mir einmal Gedanken darüber gemacht, wie ich meinen PC absichere. Meinen letzten Virus habe ich vor zig Jahren entfernt.

Linux und Konsorten sind genauso wenig sicher, wie Windows unsicher ist.

[Marze]

> bei denen der letzte Coder nicht mehr weiß...
SW-Entwicklung is viel komplexer als Du denkst. Ohne Versionierung u. Changemanagement geht da nix mehr.