Wirbel um neues Explorer-Loch

20. Oktober 2006 um 16:22
  • security
  • cio
  • microsoft
image

Die --http://www.

Die gestern, die Meldungen seien nicht richtig, denn das Problem betreffe weder IE7 noch vorherige Versionen des Explorers, sondern eine Komponente des E-Mail-Clients, auf die der IE7 (aber auch vorherige Versionen) Zugriff habe.
Budd bekräftigt, dass Microsoft an der Behebung dieses Problems arbeitet, schreibt aber auch, dass bisher noch keine Angriffe bekannt sind, die über diese Lücke ausgeführt worden seien. Laut Thomas Kristensen, CTO bei Secunia in Kopenhagen, mag dies zutreffen. "Allerdings", schreibt er uns per E-Mail, "die Sicherheitslücke kann via IE7 ausgenützt werden." Offenbar hat Microsoft den Security-Experten nicht mitgeteilt, dass das im April aufgetauchte Sicherheitsloch Outlook Express betrifft.
Laut Kristensen pflegt Microsoft schon seit längerer Zeit die Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen. Meistens sei aber der Internet Explorer der primäre oder einzige Angriffsvektor (Angriffsweg). "Der Internet Explorer ist anfällig, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmässig mitgeliefert wird wie Outlook Express", so Kristensen. (mim)
Hier die Stellungnahme von Secunia zu diesem Fall:
~~Microsoft claims the recent IE7 vulnerability is an Outlook Express vulnerability. This may be true - from an organisational point of view within Microsoft. However, the vulnerability is fully exploitable via IE, which is the primary attack vector, if not the only attack vector.
Just because a vulnerability stems from an underlying component does not relieve IE or any other piece of software from responsibility when it provides a clear direct vector to the vulnerable component.
For a long time Microsoft has had a policy of tagging various vulnerabilities where IE was the primary or only attack vector as operating system vulnerabilities. This does lead to some confusion and may cause users and system administrators to view the issues as less significant.
Again, while it may be correct from an organisational (and PR?) point of view within Microsoft, this does not fit into how it is perceived by users and administrators and how they are going to defend against exploitation.
In short, Secunia finds it necessary and reasonable to flag Internet Explorer as being vulnerable if Internet Explorer provides a clear direct vector to a vulnerable component, which is included by default in a fresh clean install of Microsoft Windows.
Hiding behind an explanation that certain vulnerabilities, which only are exploitable through Internet Explorer, are to blame on Outlook Express, Microsoft Windows, or other core Microsoft Windows components seems more like a way to promote security of IE rather than standing up and explaining the users where the true risk is and taking responsibility for the vulnerabilities and risks in IE, which are caused by IE being so heavily integrated with the underlying operating system and other Microsoft components.~~

Loading

Mehr zum Thema

imageAbo

Datenschutzprobleme bei Spitex-Organisationen, Kirchgemeinden und beim Amt für Informatik

Die Datenschutzbeauftragte des Kantons Zürich hat viel zu tun.

publiziert am 20.6.2025
image

Vermeintliche Phishing-Mails waren ein Test

Wir wurden von einer IT-Firma über Phishing-Mails informiert, die angeblich von Inside IT stammen. Später erklärt uns der CISO der Firma, es habe sich um eine Sensibilisierungs­kampagne gehandelt.

publiziert am 20.6.2025
imageAbo

Cyberkriminelle attackieren Gesundheitsstiftung Radix

Die Stiftung ist offenbar von einer Ransomware-Bande angegriffen worden. Es seien Daten abgeflossen und verschlüsselt worden, erklärt Radix.

publiziert am 20.6.2025
image

Women4Cyber Switzerland gegründet

Der neue Verein soll die Präsenz von Frauen in der Cybersecurity erhöhen.

publiziert am 19.6.2025