16. Mai 2008
Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.
Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.
Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.
Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.
Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.
Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.
Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.
Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.
Das Problem besteht auch bei der Beta vom Internet Explorer 8.
Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.
Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.
Diskussion zur Nachricht
Keine Kommentare » | 
Sicherheit | Getaggt: code, cross, explorer, Internet, java, lücke, sicherheitslücke, skript, vista, windows, zone | 
Permalink
Verfasst von ReneDD
8. April 2008
Microsoft hat heute die erste deutsche Beta des Internet Explorer 8 veröffentlicht.
Anfang März wurde die englische Version veröffentlicht. Nun sind 2 lokalisierte Versionen erschienen, deutsch und chinesisch.
Die deutsche Fassung des Internet Explorer 8 Beta 1 ist laut den Entwicklern auf dem gleichen stand wie die englische Version. Somit können alle neuen Funktionen genutzt und getestet werden.
Die Beta Version des IE8 ist hauptsächlich für Webentwickler gedacht. Diese können Ihre Websites auf den neuen Browser anpassen und optimieren.
Download des IE8 Beta 1 (deutsch)
Diskussion zur Nachricht
2 Kommentare | Beta | Getaggt: Beta, deutsch, deutsche, englische, explorer, funktionen, ie8, Internet, version, webentwickler | Permalink
Verfasst von ReneDD
2. April 2008
Am 14. März kappte der Internet Carrier Cogent die Verbindung zu Telia Sonera. Durch diese Trennung wurde das Internet teilweise lahm gelegt.
Grund der Abschaltung ist ein Streit beider Parteien.
In Mitteilungen zu dem Vorfall weisen beide Carrier die Schuld von sich. Über den eigentlichen Grund kann nur spekuliert werden.
Am 14. März wurden die Verbindungen gekappt. Zwölf Stunden lang wurden die Daten über alternative Routen wie z.B. Verizon geleitet.
Danach war auch diese Möglichkeit weg gefallen.
Letztendlich waren die Kunden die leidtragenden der ganzen Geschichte. Webserver die nur über Cogent angeschlossen sind konnten von Telia Sonera Nutzern nicht erreicht werden und umgekehrt.
Am schlimmsten traf es die Nutzer von World of Warcraft (WoW). Blizzard hat seine Server nur über Telia Sonera an das Internet angeschlossen. Diese Variante ist unvorteilhaft. Es traten schon einmal Probleme zwischen der Deutschen Telekom und Telia Sonera auf die zu hohen Pings führten.
Die Spieler, welche über Cogent geroutet werden, konnten sich nicht in das Spiel einloggen. Blizzard erhielt dafür viele Rügen in seinem Forum.
Seit dem 28. März läuft wieder alles ohne Probleme. Beide Anbieter haben sich wieder gefangen und die Peerings sind wiederhergestellt.
Diskussion zur Nachricht
Keine Kommentare » | Internet | Getaggt: blizzard, carrier, cogent, Internet, märz, probleme, server, sonera, telia, warcraft | Permalink
Verfasst von ReneDD
2. April 2008
Vor 2 Tagen hat Microsoft das SP1 für Windows Vista bereitgestellt. Vielleicht soll am Montag das SP3 für Windows XP folgen.
Darüber wird auf diversen Seiten spekuliert.
Ausgelöst wurde das ganze durch eine neue Version des SP3 für Beta-Tester. Die neue Version trägt die Build-Nummer 5503 und könnte das fertige SP3 sein.
Der neue Build kursiert derzeit auch schon im Internet und soll um die 600MB groß sein.
Wenn man den Textdateien glauben darf die mit dem neuen Build vertrieben werden so soll das SP3 am 24.03.2008 erscheinen.
Microsoft hat dies nicht offiziell bestätigt und verweist auf einen Erscheinungstermin in der ersten Jahreshälfte.
Diskussion zur Nachricht
Keine Kommentare » | Betriebssysteme | Getaggt: 2008, 5503, 600mb, build, Internet, microsoft, sp3, textdateien, version, windows | Permalink
Verfasst von ReneDD
2. April 2008
PayPal warnt aktuell davor den Safari Browser von Apple zu nutzen.
Der Browser bietet keinen Phishing Schutz wie z.B. der FireFox, Internet Explorer 7 oder Opera 9.1
PayPal empfiehlt in seinem Sicherheitscenter den Internet Explorer 7 als sicheren Webbrowser.
Der Internet Explorer 7 färbt dank Unterstützung des neuesten SSL Standards die Adresszeile automatisch ein. Sollte die Seite als sicher eingestuft werden ist die Adresszeile grün.
Ist sie unsicher wird die Adresszeile rot.
Der Safari Browser besitzt gar keinen Phishing Schutz und wird derzeit auch auf dem iPhone eingesetzt.
Ob der Internet Explorer die richtige Wahl ist muss jeder für sich selbst entscheiden.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: adresszeile, browser, explorer, Internet, paypal, phishing, safari, schutz, unsicher | Permalink
Verfasst von ReneDD
