Zeitgleich mit der Cebit bringt Google eine neue Version des Google Chrome heraus. Google ist bei jedem Internetnutzer bekannt und in allen Fällen eine Anlaufstelle wenn im World Wide Web etwas gesucht oder gebraucht wird.

Auch im Bereich Webbrowser ist Google eine ernstzunehmende Anwendung. Um auf dem heutigen Markt bestehen zu können, bringt Google eine neue Entwicklung auf dem Markt, die einen besseren Datenschutz, mehr Durchblick und weniger umstrittene Funktionen bieten soll.

(weiterlesen…)

Wie wir schon hier berichteten wurde auf der Hacker – Konferenz Black Hat DC eine neue Sicherheitslücke bzw. deren Ausnutzung angekündigt. Microsoft hat diese Lücke nun offiziell bestätigt.

So ist es mit speziellen Links möglich auf alle Dateien eines Rechners zugreifen zu können, sofern deren Speicherort bekannt ist. Das dürfte allerdings kein Problem sein, da die meisten Windows – Installationen das Wurzelverzeichnis “C:\Windows” besitzen sollten und dort nunmal die sensiblen und sicherheitsrelevanten Dateien liegen.

Betroffen sind die Benutzer des IE unter Windows XP sowie alle Besitzer, die den IE mit deaktivierten Protected Mode ausführen. Da der IE standartmäßig unter Windows Vista, Windows 7 und Windows Server 2008 im geschützten Modus ausgeführt wird, haben Benutzer dieser System nichts zu befürchten. Den Schaden dieser Attacken kann man einschränken, indem man nur noch mit eingeschränkten Rechten ins Internet geht, da der Angreifer durch die Attacke maximal die gleichen Rechte erlangt, wie sie der Benutzer besitzt.

Wie man auf Heise.de lesen kann,  sollen Benutzer von Windows XP Home nicht betroffen sein.

Insgesamt gibt es aber noch keine wirklich handfeste Lösung und auch Microsoft macht nur vage Vorschläge, bei denen stets von “Einschränkung” nicht aber was von “Verhinderung” der Attacke steht.
So bleiben den IE – Benutzern zwei Möglichkeiten:

1.) Man kann den von Microsoft bereit gestellten Notfall – Patch nutzen. Dieser deaktiviert das file – Protokoll über das die Ausnutzung der Schwachstelle erfolgt. Allerdings kann das zu Problemen mit anderen Programmen führen, die genau dieses Protokoll benötigen.

2.) Man sucht sich einen alternativen Browser.

Letzteres halte ich persönlich für gescheiter, da man damit zumindest im Moment nicht nur auf der sicheren Schiene ist, sondern auch mehr Möglichkeiten bekommt und zudem flexibler ist.

Mit Microsoft meint es das Schicksal im Moment wohl nicht gut. Oder zumindest mit dessen Internet Explorer.  Stand der noch am meisten benutze Browser in den letzten Wochen stark unter Kritik und wurde offiziell vom BSI als Sicherheitsrisiko eingestuft, haben sich die Wellen nach dem Patch langsam wieder geglättet. Diesem Bericht auf heise.de zufolge,  werden sie wohl bald wieder hochschlagen, denn auf einer der wichtigsten Sicherheitsmessen der Black Hat, will Jorge Luis Alvarez Medina eine Technik vorstellen mit der er per Javascript auf sämtliche Dateien eines Rechners, der mit Windows läuft, zugreifen kann.
Genau das sollte eigentlich das Zonenmodell des Internetexplorers verhindern. Mit diesem Modell ist es möglich für gewisse Zonen Sicherheitsbeschränkungen aufzulegen. Mögliche Zonen wären beispielsweise “Internet” oder “Intranet”.
Dieses System soll dabei unter Verwendung von UNC – Pfaden ausgehebelt werden. UNC – Pfade dürften jedem bekannt vorkommen, der schonmal per Browser auf Netzwerkfreigaben zugegriffen hat (z.B.: \\127.0.0.1\pfad\dateiname). Der Internet Explorer hat dabei das Problem diese Form von Pfaden mit dem Zonenmodell zu verarbeiten, sodass eben nicht immer die Beschränkungen auferlegt werden.

Die Problematik ist zweimal bitter für Microsoft. Denn 1.) hat der selbe Entwickler schon zwei ähnliche Schwachstellen im Internet Explorer in den Jahren 2008 und 2009 offengelegt, die nach dem gleichen Prinzip arbeiten.
Und 2.): Diese Problematik betrifft alle Internet Explorer – Versionen von 6 – 8 auf allen Windows – Betriebssystemen.

Wie dem Bericht weiter zu entnehmen ist, arbeitet Microsoft mit Core Security, einer IT – Sicherheitsfirma in Boston, an einer Lösung des Problems.