Die
gestern, die Meldungen seien nicht richtig, denn das Problem betreffe weder IE7 noch vorherige Versionen des Explorers, sondern eine Komponente des E-Mail-Clients, auf die der IE7 (aber auch vorherige Versionen) Zugriff habe.
Budd bekräftigt, dass Microsoft an der Behebung dieses Problems arbeitet, schreibt aber auch, dass bisher noch keine Angriffe bekannt sind, die über diese Lücke ausgeführt worden seien. Laut Thomas Kristensen, CTO bei Secunia in Kopenhagen, mag dies zutreffen. "Allerdings", schreibt er uns per E-Mail, "die Sicherheitslücke kann via IE7 ausgenützt werden." Offenbar hat Microsoft den Security-Experten nicht mitgeteilt, dass das im April aufgetauchte Sicherheitsloch Outlook Express betrifft.
Laut Kristensen pflegt Microsoft schon seit längerer Zeit die Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen. Meistens sei aber der Internet Explorer der primäre oder einzige Angriffsvektor (Angriffsweg). "Der Internet Explorer ist anfällig, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmässig mitgeliefert wird wie Outlook Express", so Kristensen. (mim)
Hier die Stellungnahme von Secunia zu diesem Fall:
~~Microsoft claims the recent IE7 vulnerability is an Outlook Express vulnerability. This may be true - from an organisational point of view within Microsoft. However, the vulnerability is fully exploitable via IE, which is the primary attack vector, if not the only attack vector.
Just because a vulnerability stems from an underlying component does not relieve IE or any other piece of software from responsibility when it provides a clear direct vector to the vulnerable component.
For a long time Microsoft has had a policy of tagging various vulnerabilities where IE was the primary or only attack vector as operating system vulnerabilities. This does lead to some confusion and may cause users and system administrators to view the issues as less significant.
Again, while it may be correct from an organisational (and PR?) point of view within Microsoft, this does not fit into how it is perceived by users and administrators and how they are going to defend against exploitation.
In short, Secunia finds it necessary and reasonable to flag Internet Explorer as being vulnerable if Internet Explorer provides a clear direct vector to a vulnerable component, which is included by default in a fresh clean install of Microsoft Windows.
Hiding behind an explanation that certain vulnerabilities, which only are exploitable through Internet Explorer, are to blame on Outlook Express, Microsoft Windows, or other core Microsoft Windows components seems more like a way to promote security of IE rather than standing up and explaining the users where the true risk is and taking responsibility for the vulnerabilities and risks in IE, which are caused by IE being so heavily integrated with the underlying operating system and other Microsoft components.~~