Wirbel um neues Explorer-Loch

20. Oktober 2006 um 16:22
  • security
  • cio
  • microsoft
image

Die --http://www.

Die gestern, die Meldungen seien nicht richtig, denn das Problem betreffe weder IE7 noch vorherige Versionen des Explorers, sondern eine Komponente des E-Mail-Clients, auf die der IE7 (aber auch vorherige Versionen) Zugriff habe.
Budd bekräftigt, dass Microsoft an der Behebung dieses Problems arbeitet, schreibt aber auch, dass bisher noch keine Angriffe bekannt sind, die über diese Lücke ausgeführt worden seien. Laut Thomas Kristensen, CTO bei Secunia in Kopenhagen, mag dies zutreffen. "Allerdings", schreibt er uns per E-Mail, "die Sicherheitslücke kann via IE7 ausgenützt werden." Offenbar hat Microsoft den Security-Experten nicht mitgeteilt, dass das im April aufgetauchte Sicherheitsloch Outlook Express betrifft.
Laut Kristensen pflegt Microsoft schon seit längerer Zeit die Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen. Meistens sei aber der Internet Explorer der primäre oder einzige Angriffsvektor (Angriffsweg). "Der Internet Explorer ist anfällig, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmässig mitgeliefert wird wie Outlook Express", so Kristensen. (mim)
Hier die Stellungnahme von Secunia zu diesem Fall:
~~Microsoft claims the recent IE7 vulnerability is an Outlook Express vulnerability. This may be true - from an organisational point of view within Microsoft. However, the vulnerability is fully exploitable via IE, which is the primary attack vector, if not the only attack vector.
Just because a vulnerability stems from an underlying component does not relieve IE or any other piece of software from responsibility when it provides a clear direct vector to the vulnerable component.
For a long time Microsoft has had a policy of tagging various vulnerabilities where IE was the primary or only attack vector as operating system vulnerabilities. This does lead to some confusion and may cause users and system administrators to view the issues as less significant.
Again, while it may be correct from an organisational (and PR?) point of view within Microsoft, this does not fit into how it is perceived by users and administrators and how they are going to defend against exploitation.
In short, Secunia finds it necessary and reasonable to flag Internet Explorer as being vulnerable if Internet Explorer provides a clear direct vector to a vulnerable component, which is included by default in a fresh clean install of Microsoft Windows.
Hiding behind an explanation that certain vulnerabilities, which only are exploitable through Internet Explorer, are to blame on Outlook Express, Microsoft Windows, or other core Microsoft Windows components seems more like a way to promote security of IE rather than standing up and explaining the users where the true risk is and taking responsibility for the vulnerabilities and risks in IE, which are caused by IE being so heavily integrated with the underlying operating system and other Microsoft components.~~

Loading

Mehr zum Thema

image

Tausende Linux-Systeme von "Stealth-Malware" infiziert

"Perfectl" tarnt sich und seine Aktivitäten und könnte Millionen weitere Computer gefährden.

publiziert am 4.10.2024
image

Erneut keine Einigung über Chatkontrolle in der EU

Die Abstimmung wurde im zuständigen Ausschuss ein weiteres Mal verschoben. Ist die Chatkontrolle damit endgültig ein "totes Pferd"?

publiziert am 4.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024