Internet Explorer bleibt Sorgenkind

[Dynamite]

Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.

Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.

Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. Es gebe aber weitere Wege, das Zonenmodell auszuhebeln. Laut Medina seien diese Wege sehr schwer zu versperren, da es sich um grundlegende Funktionen des Browsers handele, damit der Browser mit anderen Anwendungen nahtlos zusammenarbeiten kann.

Betroffen sind durch die Bank alle Versionen des Internet Explorer von Version 6 bis 8 auf allen verfügbaren Windows-Versionen – inklusive Windows 7. Microsoft soll über die Probleme informiert sein und mit Core Security bereits an einer Lösung arbeiten. Meldungen über erfolgreiche Angriffe durch diese Lücke gebe es nicht. Vorschläge zum Schutz machen bislang weder Medina noch Microsoft.

Erst vergangene Woche musste Microsoft mit einem Notfall-Patch eine kritische Lücke in seinem Browser schließen, durch die vermutlich chinesische Hacker erfolgreich bei Google, Adobe und anderen US-Unternehmen eindrangen.

Anwender sollten den Einsatz eines alternativen Browsers in Erwägung ziehen. Zur Wahl stehen Firefox, Chrome und Opera. Diese weisen zwar auch immer wieder kritische Sicherheitslücken auf, insbesondere in Firefox beseitigen die Entwickler häufig kritische Fehler, allerdings gab es dafür bislang so gut wie nie Zero-Day-Exploits. Zudem konzentrieren sich Kriminelle weiterhin auf den Internet Explorer als Angriffsziel. Mit dem zunehmenden Marktanteil des Firefox könnte allerdings auch dieser bald verstärkt unter Beschuss stehen.

Quelle: Heise.de

[Dynamite]

Neue Lücke: Internet Explorer gibt alle Dateien frei

Unsicher, unsicherer, Internet Explorer: Der Microsoft-Browser kommt nicht mehr auf die Beine. Nach einem großen Sicherheits-Update letzte Woche ist die nächste Lücke schon entdeckt.

Schwachpunkt Zonenmodell
Dieses Mal geht es um einen alten Bekannten, der immer wieder für Negativschlagzeilen sorgt, das Zonenmodell. Auf der Black Hat-Konferenz will ein Sicherheits-Spezialist der Firma Core Security eine neue Variante präsentieren, wie Hacker das Zonenmodell überlisten können. Über eine speziell präparierte Webseite soll es gelingen, den Internet Explorer so zu manipulieren, dass er alle Dateien auf einem Windows-PC wie ein Datei-Server freigibt.

Logischer Fehler im IE
Das Besondere: Für den Angriff wird kein Bug im IE genutzt, sondern eine geschickte Verknüpfung von erlaubten Aktionen, die aber insgesamt zu einem Sicherheitsproblem werden. Details zum genauen Vorgehen samt einer Demonstration soll es auf der genannten Konferenz geben. Nach bisherigen Erkenntnissen sind alle Versionen des Internet Explorers betroffen. Microsoft weiß über das Problem bereits Bescheid und arbeitet an einer Lösung. (jg)

Quelle: Chip.de

[Dynamite]

Microsoft bestätigt neue Lücke im Internet Explorer

Microsoft hat die am Dienstag offiziell auf der Sicherheitskonferenz Black Hat DC vorgeführte Sicherheitslücke bestätigt und eine eigene Warnung veröffentlicht. Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen. Dazu muss der Angreifer zwar den konkreten Pfad und den Dateinamen wissen, bei den üblichen Standardinstallationspfaden sind die aber meist bekannt.

Grundsätzlich sind alle Versionen des Internet Explorer von 5.01 bis 8 auf allen noch unterstützten Windows-Plattformen betroffen. Die Lücke lässt sich im Internet Explorer 7 und 8 unter Windows 7, Vista und Server 2003/2008 nicht ausnutzen, wenn im Webbrowser der geschützte Modus (Protected Mode) aktiviert ist – standardmäßig ist er das.

Microsoft untersucht nach eigenen Angaben, wie es das Problem lösen kann. Allerdings ist es wohl nicht so einfach zu lösen, wie der Entdecker der Lücke Jorge Luis Alvarez Medina von Core Security Technologies bereits mehrfach unterstrich. Kern des Problems ist, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angegeben ist, beispielsweise file://127.0.0.1/C$/.../index.dat. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen (und sie rendern), obwohl das Zonenmodell dies verbietet.

Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet, die dafür auch jeweils Updates bereitgestellt haben. Bislang hat Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. In der Folge hat nun Medina einen weiteren Weg gefunden, lokale Dateien auszulesen. Dabei macht er sich einen Fehler bei der Ermittlung des MIME-Types von lokalen Dateien sowie eine Schwäche beim Verarbeiten von OBJECT-Tags zunutze, um die von Microsoft aufgebauten Hürden zu überwinden.

Bis zur Verfügbarkeit einer echten Lösung bietet Microsoft ein Fix-it-Tool zum Download an, mit dem der Internet Explorer das file-Protokoll nicht mehr unterstützt. In der Folge könnten aber Probleme mit anderen Anwendungen auftreten. Update: Anwender von Windows XP Home sind von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte.

Quelle: Heise.de

[Dynamite]

Vorsicht: Neue Lücke im Internet Explorer

Eine neue Lücke im Internet Explorer 6 und der Version 7 kann von Angreifern genutzt werden, um den PC eines Surfers zu übernehmen. Microsoft warnt - bietet aber noch keinen Patch für den Fehler.

Nicht betroffen sind die neue Version 8 des Internet Explorers und die betagte Version 5.01. Microsoft hat noch keinen Zeitplan für die Veröffentlichung des Patches genannt und geht davon aus, dass die Lücke derzeit nicht von Hackern ausgenutzt wird.

Unklar ist, ob Microsoft einen Patch außerhalb seines normalen Update-Zyklus veröffentlichen wird - der nächste geplante Patch-Day ist erst am 13. April. Bis dahin empfiehlt der Softwarekonzern besorgten Nutzern unter anderem, die Zugriffsrechte auf die betroffene Datei "iepeers.dll" zu beschränken. Genaue Anweisungen finden Sie in Microsofts Advisory. (mas)

Quelle: Chip.de

[Dynamite]

Internet Explorer: Sicherheitsleck teilweise behoben

Microsoft hat einen Fix für die kürzlich aufgetauchte Sicherheitslücke in seinen Web-Browsern Internet Explorer 6 und 7 veröffentlicht. Allerdings wird die Lücke vorerst nur in Windows XP und Windows Server 2003 geschlossen.

Der Fix deaktiviert dabei die Peer-Factory-Class in der Datei iepeers.dll. In allen anderen Versionen von Windows bleibt der Fehler damit weiter bestehen. Ob das Unternehmen noch vor seinem nächsten Patch-Day im April ein Update zur Verfügung stellen wird, steht ebenfalls nicht fest. Bis dahin empfiehlt der Softwarekonzern besorgten Nutzern unter anderem, die Zugriffsrechte auf die betroffene Datei "iepeers.dll" zu beschränken. Genaue Anweisungen finden Sie in Microsofts Advisory.

Die Lücke im Internet Explorer 6 und der Version 7 kann von Angreifern genutzt werden, um den PC eines Surfers zu übernehmen. Inzwischen wird die Schwachstelle auch aktiv von Angreifern ausgenutzt. Nicht betroffen sind die neue Version 8 des Internet Explorers und die betagte Version 5.01. (mgb)

Quelle: Chip.de

[Dynamite]

Microsoft patcht Internet Explorer außer der Reihe

In einer Vorabbenachrichtigung erklärt Microsofts Sicherheitsteam, dass man am 30. März einen Patch für den Internet Explorer veröffentlichen wolle. Der wird dann wahrscheinlich wie üblich nach deutscher Zeit heute Abend gegen 20 Uhr erscheinen.

Damit kommt das Update außerhalb des gewohnten, monatlichen Patch-Rhythmus. Ursache dafür ist die Tatsache, dass die Sicherheitslücke in der Bibliothek iepeers.dll im Internet bereits aktiv ausgenutzt wird; am letzten Freitag ist sogar noch eine verbesserte Version des Exploits veröffentlicht worden. Die Lücke war Anfang März bekannt geworden, wurde beim darauffolgenden Patchday jedoch noch nicht berücksichtigt.

Die Angriffe betreffen zwar nur Internet Explorer 6 und 7; laut Sicherheitsnotiz schließt das Update jedoch auch eine kritische Lücke im Internet Explorer 8 auf Windows 7. Ob das bedeutet, dass die Redmonder auch gleich das Sicherheitsloch schließen, über das der Browser letzte Woche im Rahmen des Pwn2wn-Wettbewerbs vorgeführt wurde, lässt die Vorabmeldung jedoch leider offen.

Quelle: Heise.de

[feldmann]

die werden den IE wohl nicht los, die machen schon werbung im fernsehen dafür.

[Dynamite]

Zehn auf einen Streich -- Microsoft patcht Internet Explorer

Mit einem außerplanmäßigem Update schließt Microsoft die seit rund drei Wochen bekannte kritische Lück im Internet Explorer (iepeers.dll) – und gleich noch neun weitere, bislang unbekannte. Allerdings ist nicht jede der Lücken in allen unterstützten Versionen zu finden. Zudem variiert das Risiko eines erfolgreichen Angriffs je nach Version des Browsers und der Windows-Version, auf der er läuft. Die Gründe sind in der verbesserten Sicherheitsfunktionen in neueren Browser-Version (etwa geschützter Modus) und den Windows-Versionen (DEP, ASLR) zu finden.

Offen bleibt weiterhin die seit vier Wochen bekannte "F1-Lücke". Sie beruht auf der Möglichkeit der VBScript-Funktion MsgBox, Hilfe-Dateien (.hlp) von Netzwerkfreigaben nachzuladen und mit darin enthaltenen Makros beliebige Befehle auszuführen. Allerdings ist ein wenig Nutzerinteraktion notwendig: Der Anwender muss zur Bestätigung die F1-Taste drücken.

Für die im Rahmen des Pwn2own-Wettbewerbs gefundene Lücke im Internet Explorer 8 war die Zeit für einen Patch anscheinend zu kurz. Peter Vreugdenhil gelang es während des Wettbewerbs, den Internet Explorer 8 auf Windows 7 trotz ASLR und DEP zu knacken. Bislang beschränken sich die Informationen zu dieser Sicherheitslücke allerdings auf einen wenig konkreten Blog-Beitrag des Entdeckers.

Quelle: Heise.de

[joeson]

das ist wirklich ein Problem

[Dynamite]

Microsoft wirbt mit TÜV-Siegel für Internet Explorer 8

Vier Monate lang untersuchte die TÜV TrustIT GmbH, eine Tochter der TÜV-Austria-Gruppe, den Internet Explorer 8. Laut Mitteilung kam dabei ein Dokument heraus, das dem Browser "hohe Sicherheitstandards bei Datensicherheit, Privatsphäre und Compliance" bescheinigt.

Ziel sei eine Prüfung "auf wesentliche Sicherheitsmerkmale" gewesen. Allerdings gehörte der Veröffentlichung von TÜV TrustIT zufolge dazu keine Untersuchung des Browser-Codes. Vollständig fehlerfreie Software könne es ohnehin nicht geben, betont die Firma mehrmals. Deshalb beschränkte sie sich im Wesentlichen auf zwei Schwerpunkte: Die Möglichkeiten, den Internet Explorer entsprechend den Sicherheitsbedürfnissen der Benutzer zu konfigurieren und den Umgang Microsofts mit bekannten Schwachstellen.

Mit beiden Aspekten zeigten sich die TÜV-Prüfer zufrieden. Es gebe hinreichende Sicherheitseinstellungen, die Benutzer könnten sie leicht finden sowie bedienen, und sie funktionierten. In ihren Untersuchungen habe der IE zudem niemals unberechtigt Daten an Dritte versandt, und Funktionen wie "InPrivate" ermöglichten effektives privates Surfen – mit der Einschränkung, dass für einen begrenzten Zeitraum die Daten mit forensischen Methoden rekonstruierbar blieben. Der Hersteller reagiere hinreichend schnell auf bekannte Sicherheitslücken; es gebe einen wirksamen unternehmensweiten Prozess zur sicheren Entwicklung von Software.

Die TÜVler weisen darauf hin, dass die Sicherheitsfunktionen des Browsers alleine noch keinen vollständigen Schutz darstellten. Zum einen könnten fehlerhafte Add-ons diese aushebeln, zum anderen müssten Firewall und Virenscanner verwendet werden. Diese Hinweise fehlen in Microsofts Presseerklärung ebenso wie die Information, dass der Code des Browsers nicht untersucht wurde. Im Untersuchungszeitraum hat Microsoft mindestens vier Lücken im IE 8 geschlossen.

Quelle: Heise.de

[Dynamite]

Microsoft will weitere Lücke im XSS-Filter des Internet Explorer 8 schließen

Wenn eine Sicherheitsfunktion regelmäßig für mehr Unsicherheit sorgt, sollte man überdenken, ob es nicht sinnvoller ist, sie aus dem Produkt zu entfernen – oder das Konzept überarbeiten. Nicht so Microsoft: Ein drittes Update für den Cross-Site-Scripting-Filter des Internet Explorer 8 soll eine weitere Schwachstelle beseitigen, die eigentlich nicht verwundbare Webseiten doch verwundbar macht. Angreifer könnten auf diese Weise etwa eigenen JavaScript-Code in eine HTML-Seite einschleusen und im Kontext der normalerweise sicheren Seite ausführen.

Dass der XSS-Filter des Internet Explorer 8 Schwachstellen aufweist, ist bereits seit November des vergangenen Jahres bekannt. Microsoft hat auch bereits mit den Updates MS10-002 im Januar und MS10-018 im März einige davon behoben. Ein Update im Juni soll nun auf der vergangene Woche während der Black Hat präsentierte Lücken in Zusammenhang mit dem SCRIPT-Tag schließen. David Ross von Microsoft findet es jedoch weiterhin wichtig, dass ein Browser einen XSS-Filter enthält. Der Schutz vor normalen XSS-Angriffen überwiege in den meisten Fällen das potenzielle Risiko durch Fehler.

Anders als das populäre Firefox-Plug-in NoScript filtert der XSS-Schutz des Internet Explorer 8 nicht die Requests des Clients nach verdächtigem Code, sondern die Antwort des Servers (reflective XSS) – und verändert sie gegebenenfalls. Dies lässt sich von Angreifern ausnutzen, um die Antwort des Servers zu manipulieren und eigenen Code einzuschleusen. Allerdings muss man eine gewisse Kontrolle über den Inhalt der Seite haben, die das Opfer aufgerufen hat. Dies ist etwa auf Social-Networking-Seiten, in Foren und Wikis der Fall. Die Black-Hat-Präsentation führt als prominentestes Beispiel – wie könnte es anders sein – Facebook auf. Daneben sind aber auch Google und seine Dienste betroffen. Google schaltet aber den XSS-Schutz des Internet Explorer 8 durch Senden des Header X-XSS-Protection: 0 ab. Alternativ unterstützt der Internet Explorer 8 seit dem März-Update den Header X-XSS-Protection: 1; mode=block. Damit versucht der Browser die Antworten nicht mehr zu verändern, sondern blockiert im Zweifel den ganzen Inhalt einer Webseite.

Auch Googles Browser Chrome 4 enthält einen bislang experimentellen Cross-Site-Scripting-Schutz namens XSS Auditor. Der Filter prüft, ob ein JavaScript bereits in dem Request enthalten war, das beim Aufbau einer verwundbare Webseite nun zurückgeliefert wird. Wenn ja, handelt es sich sehr wahrscheinlich um eine reflektive XSS-Attacke, bei dem ein Angreifer einen Link manipuliert hat – der Browser führt das Skript dann nicht aus. Auch Chrome (respektive Webkit) unterstützt die X-XSS-Header; den Block-Mode jedoch erst in einer kommenden Version.

Quelle: Heise.de

[Dynamite]

Microsoft: Surfen mit dem Internet Explorer 6 ist ein Risiko

"Wer heute noch den Internet Explorer 6 installiert hat, geht ein unnötiges Risiko ein und sollte dringend auf die kostenlose Version 8 upgraden, die ein deutlich höheres Schutzniveau bietet", kommentiert Tom Köhler, Direktor Informationssicherheit bei Microsoft Deutschland, den aktuellen Security Intelligence Report für das zweite Halbjahr 2009. Der Report fasst die unter anderem mit Microsofts Malicious Software Removal Tool (MSRT), Forefront und den Security Essentials gesammelten Daten zusammen.

Der beste Schutz sei, lautet Microsofts Interpretation des Reports, neben einem gesunden Misstrauen und einer aktuellen Antiviren-Software ein System zu betreiben, dessen Software auf dem neuesten Stand ist. Zumindest für Betriebssysteme sprechen dabei laut Report die Zahlen für sich: Windows Vista SP2 und Windows 7 werden nicht einmal halb so oft von Schadsoftware befallen wie Systeme mit Windows XP.

Allerdings haben Anwender nicht immer die Möglichkeit, in den Genuss der aktuellen Versionen zu gelangen. Beispielsweise wurden bis vor kurzem Netbooks vornehmlich mit Windows XP ausgeliefert, erst auf aktuelleren Netbook-Generationen ist hauptsächlich Windows 7 Starter zu finden – das aber erhebliche Einschränkungen in der Bedienoberfläche hat.

Aber selbst wer den Internet Explorer 8 einsetzt, kann sich nicht in Sicherheit wiegen, da der vor vielen Angriffen Schutz bietende "Protected Mode" nur unter Windows 7 und Vista funktioniert; auch hier bleiben XP-Anwender außen vor. Allerdings ist der Internet Explorer gar nicht mehr Angriffsziel Nummer eins; das ist vielmehr der Adobe Reader und das dazugehörigen Plug-in. Zu einem ähnlichen Ergebnis kam auch schon Symantec in seinem vergangene Woche veröffentlichten Report.

In Bezug auf die Schädlingsverbreitung in Deutschland zeichnen Microsoft und Symantec verschiedene Bilder: Laut Microsoft wurden nur 0,22 Prozent der (überwachten) Computer in Deutschland im zweiten Halbjahr 2009 von Schadsoftware befallen. Seinen Anteil an der geringen Quote könnte möglicherweise auch Microsofts kostenloser Virenscanner Security Essentials (MSE) haben. Die Infektionsraten in Deutschland seien im internationalen Vergleich niedrig und zum dritten Mal in Folge gesunken. Deutsche Computerbenutzer würden beim Thema Internetsicherheit im internationalen Vergleich einen guten Job machen. Symantecs Beobachtungen zufolge werden aber 12 Prozent der in Europa kursierenden Schadsoftware von deutschen Rechnern aus aktiv verbreitet, was zu Platz eins in Europa führt.

Zu einem immer größeren Problem wird Scareware: Microsoft hat derart dubiose Antivirensoftware im zweiten Halbjahr 2009 von rund 8 Millionen Rechnern entfernt, ein halbes jahr zuvor waren es nur etwa über 5 Millionen. Nach EInschätzung des Redmonder bietet Scareware offenbar ein Geschäftsmodell mit vergleichweise niedrigem Risiko und hohem Umsatz.

Quelle: Heise.de