Wirbel um neues Explorer-Loch

20. Oktober 2006 um 16:22
  • security
  • cio
  • microsoft
image

Die --http://www.

Die gestern, die Meldungen seien nicht richtig, denn das Problem betreffe weder IE7 noch vorherige Versionen des Explorers, sondern eine Komponente des E-Mail-Clients, auf die der IE7 (aber auch vorherige Versionen) Zugriff habe.
Budd bekräftigt, dass Microsoft an der Behebung dieses Problems arbeitet, schreibt aber auch, dass bisher noch keine Angriffe bekannt sind, die über diese Lücke ausgeführt worden seien. Laut Thomas Kristensen, CTO bei Secunia in Kopenhagen, mag dies zutreffen. "Allerdings", schreibt er uns per E-Mail, "die Sicherheitslücke kann via IE7 ausgenützt werden." Offenbar hat Microsoft den Security-Experten nicht mitgeteilt, dass das im April aufgetauchte Sicherheitsloch Outlook Express betrifft.
Laut Kristensen pflegt Microsoft schon seit längerer Zeit die Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen. Meistens sei aber der Internet Explorer der primäre oder einzige Angriffsvektor (Angriffsweg). "Der Internet Explorer ist anfällig, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmässig mitgeliefert wird wie Outlook Express", so Kristensen. (mim)
Hier die Stellungnahme von Secunia zu diesem Fall:
~~Microsoft claims the recent IE7 vulnerability is an Outlook Express vulnerability. This may be true - from an organisational point of view within Microsoft. However, the vulnerability is fully exploitable via IE, which is the primary attack vector, if not the only attack vector.
Just because a vulnerability stems from an underlying component does not relieve IE or any other piece of software from responsibility when it provides a clear direct vector to the vulnerable component.
For a long time Microsoft has had a policy of tagging various vulnerabilities where IE was the primary or only attack vector as operating system vulnerabilities. This does lead to some confusion and may cause users and system administrators to view the issues as less significant.
Again, while it may be correct from an organisational (and PR?) point of view within Microsoft, this does not fit into how it is perceived by users and administrators and how they are going to defend against exploitation.
In short, Secunia finds it necessary and reasonable to flag Internet Explorer as being vulnerable if Internet Explorer provides a clear direct vector to a vulnerable component, which is included by default in a fresh clean install of Microsoft Windows.
Hiding behind an explanation that certain vulnerabilities, which only are exploitable through Internet Explorer, are to blame on Outlook Express, Microsoft Windows, or other core Microsoft Windows components seems more like a way to promote security of IE rather than standing up and explaining the users where the true risk is and taking responsibility for the vulnerabilities and risks in IE, which are caused by IE being so heavily integrated with the underlying operating system and other Microsoft components.~~

Loading

Mehr zum Thema

image

Die Nachhaltigkeitsagenda im öffentlichen Leben umsetzen

Die öffentliche Hand strebt nach Nachhaltigkeit, setzt Ziele und kommuniziert sie. Die Herausforderung liegt in der Evaluierung der Umsetzung. Hierfür gibt es Tools, die den Impact messen, Trends beobachten und Handlungsempfehlungen aus dem Verhältnis zwischen Indikator und Ist-Zustand ableiten.

image

KMU fühlen sich schlecht über Cyber­gefahren informiert

Der Berner Gewerbeverband hat KMU zu ihren Sorgen und Problemen gefragt. Neben Fachkräftemangel und finanziellen Druck sorgen sie sich wegen Cyberrisiken.

publiziert am 24.11.2023
image

Bericht: Heikle Daten aus Concevis-Hack aufgetaucht

Bankdaten von US-Bürgern sollen im Darkweb gelandet sein, die aus dem Angriff auf den Schweizer IT-Dienstleister stammen. Der Fall wirft Fragen auf.

publiziert am 24.11.2023
image

Die EU bündelt ihre Kräfte für die Cyberabwehr

In einem neuen Zentrum sollen alle sicherheitsrelevanten Informationen aus den EU-Staaten zusammenfliessen. So will man besser auf Cyberangriffe vorbereitet sein.

publiziert am 24.11.2023