Microsoft: Internet Explorer mit kritischer Lücke [Quelle: siehe Bildergalerie]
Original-Artikel: 15.01.2010 Die chinesischen Internetangriffe sollen via Internet Explorer möglich geworden sein. Das ermittelten
Spezialisten von McAfee. Die Lücke in den Versionen 6-8 sollen bisher nicht bekannt gewesen sein. Die Lücke soll sich dazu missbrauchen lassen, einen manipulierten Webseiten-Code auf den Rechner zu schleusen, mit dem anschließend Trojaner-Downloader platziert werden können. Dieser Trojaner soll dann über eine SSL-verschlüsselte Verbindung weitere Module nachgeladen haben - darunter auch Backdoor-Programme. Die Links zu den Webseiten sollen per Mail an ausgesuchte Mitarbeiter gegangen sein.
Die von McAfee gesammelten Daten sollen darauf schließen lassen, dass der Angriff unter dem Namen Aurora ablief und Firmen wie Google, Adobe, Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemical betroffen sind. Man geht davon aus, dass die Angriffe zwischen Mitte Dezember und Anfang Januar durchgeführt wurden, was in die Weihnachtszeit fällt und so viele Mitarbeiter im Urlaub waren, was den Hackern in die Hände gespielt haben soll.
In Redmond hat man die
Lücke bereits bestätigt und arbeitet an einem Patch, der das Loch abdichtet. Man denkt sogar darüber nach, den Unternehmen einen Emergency-Patch außerhalb des üblichen Patchzyklus zu übergeben. Die Lücke soll in den Versionen 6-8 vorhanden sein, aber die Hacker sollen lediglich Version 6 angegriffen haben. Hier kam die Frage über die Software-Pflege in Firmen auf. Microsoft empfiehlt als Sofortmaßnahme die Sicherheitseinstellungen für Internet und Intranet auf hoch zu setzen. Ebenfalls hilfreich sei die Deaktivierung von Javascript, da die Exploits dieses verwenden. Für umfassende Sicherheit wäre noch die Aktivierung der DEP (Datenausführungsverhinderung) zu empfehlen. Unter Windows Vista und Internet Explorer 7/8 sei die Lücke weniger gefährlich, da der Browser hier im geschützten Modus läuft.
Update: 16.1.2010 Die Lücke im Internet Explorer ist nun öffentlich, wie unter anderem
Heise.de berichtet. Der Schadcode kann nun also von praktisch jedem genutzt werden, der kriminelle Energie aufbringt. Nicht nur das BSI rät deshalb dazu, aktuell auf den Internet Explorer zu verzichten. Alternativ können Sie unsere oben genannten Tipps nutzen.
Update: 18.1.2010 Microsoft selbst hat nun unter anderem durch
einen Blogeintrag nähere Angaben zur Lücke im Internet Explorer veröffentlicht. George Stathakopoulos, General Manager Trustworthy Computing Security, führt aus, dass nur wenige Angriffe gegen eine geringe Zahl von Firmen ausgeführt wurden. Endkunden sei damit (noch) relativ sicher. Alle Angriffe wären gezielt auf den Internet Explorer 6 ausgelegt gewesen. Zum heutigen Zeitpunkt sei keine erfolgreiche Attacke gegen Internet Explorer 7 oder 8 registriert worden.
Stathakopoulos empfiehlt IE6- und IE7-Usern, auf den IE8 umzusteigen. Nutzer von Windows XP SP2 sollten entweder IE8 in Kombination mit DEP (Data Execution Protection) benutzen oder gleich XP SP3 installieren, das DEP standardmäßig aktiviert. Microsoft arbeite mit mehreren Teams rund um die Uhr an der Behebung der Sicherheitslücke im IE.
Update: 19.1.2010Zum Thema Sicherheitslücke im Internet Explorer gibt es diverse Neuigkeiten. So rät nun auch Frankreichs Sicherheitsbehörde davon ab, den Internet Explorer zu nutzen, solange kein Patch von Microsoft veröffentlicht wurde. Ähnliches hatte auch schon das BSI, das Bundesministerium für Sicherheit in der Informationstechnik, geäußert.
Medienberichten zufolge will Microsoft noch diese Woche den geforderten Patch veröffentlichen, der die besagte Lücke im Internet Explorer schließen soll. Er ermöglichte es, dass chinesische Hacker eine bisher nicht näher genannte Zahl an Unternehmen angreifen konnten. Glaubt man Sicherheitsexperten, ist der Patch nötiger denn je. Aussagen von Microsoft, die Lücke können durch den Umstieg auf den IE8 gänzlich vermieden werden, sind offenbar nur temporär zu verstehen.
Microsoft's UK Security Chief Cliff Evans wird
bei Techradar so zitiert, dass ein Umstieg auf den Firefox oder andere alternative Browser schwere Sicherheitsprobleme nach sich ziehen würde. Die Nutzung anderer Browser würden viel breitere Risiken und Probleme mit sich bringen.
Update: 21.1.2010Nachdem bereits bekannt war, dass Microsoft noch diese Woche den Emergency Patch für den Internet Explorer veröffentlichen will, wurde der Release nun für heute, 21.1. bestätigt. Unter dem Namen MS10-002 soll der Patch im Laufe des Abends als Update eingespielt werden. Der Patch wird als kritisch eingestuft und außer der Reihe veröffentlicht. Ein
Sicherheits-Hinweis bei Microsoft erläutert weitere Details.
Update: 24.1.2010Nachdem der
Emergency Patch für den IE erschienen ist, wechseln offenbar weiterhin viele deutsche Nutzer des Microsoft-Browsers zu alternativen Webbrowsern.
Weitere Informationen zu den
chinesischen Hacker-Angriffen finden Sie im gesonderten Artikel.
Alle Infos zum
Firefox, dem Internetbrowser von Mozilla, finden Sie auf der Themenwebseite. Auch zum
Internet Explorer, dem Internetbrowser von Microsoft, finden Sie alles auf der Themenwebseite. Wenn Sie sich für
Chrome, den Internetbrowser von Google interessieren, sollten Sie die passende Specialseiten anrufen. News, Tests, Downloads und Wissen zu Themen wie
Internet-Browser, Suchmaschinen und soziale Netzwerke finden Sie auf der Internet-Übersichtsseite von PC Games Hardware Online.
PC-Selbstbauer
25.01.2010 10:32
Ganz vorne Sony.
Weitere:
Intel, AMD, Nvidia und Google um ein paar Firmen zu nennen.
tausch mal sony gegen microsoft aus, dann könnte die liste hinhauen.
PC-Selbstbauer
25.01.2010 10:24
Es ist eine hässliche angelegenheit, seinen Webkram in _ALLEN_ Browsern lauffähig zu machen - sowohl visuell als auch funktionell. Zwar ähneln sich die Netscape-Ableger allesamt etwas, was es dahingehend etwas angenehmer macht, aber es wäre mir lieber wenn erstmal die W3C Standards eingehalten werden würden, anstatt noch einen Browser auf den Markt zu werfen. Aber nein, jeder muss ja seine Extrawurst machen, in der Meinung er mache damit alles besser. Aber an die Entwickler denkt natürlich keiner. Da bringt dem DAU so ein Feature wie der Kompatibilitätsmodus im IE auch nichts - zumal der eh zu 75% makulatur ist - da er gar nicht weiß wie er den aktivieren kann.
Ich entwickle zur Zeit für meine Firma ein Webportal aus so ziemlich allen Webtechnologien, die es derzeit gibt und es ist ein Graus, in jedem Browser das gewünscht Ergebnis zu erzielen.
Aber da kann man nochmal 10 Jahre warten und es wird sich daran nichts ändern, dass Webstandards eingehalten werden.
PC-Selbstbauer
25.01.2010 01:11
Beispiele?
Ganz vorne Sony.
Weitere:
Intel, AMD, Nvidia und Google um ein paar Firmen zu nennen.