Internet Explorer mit Sicherheitslücke
Der aktuelle Internet Explorer leidet an einer Sicherheitslücke. Und diese betrifft nicht nur die aktuelle Version, sondern alle Versionen von IE 6 bis IE 10. Die Informationen über diese Sicherheitslücke wurde auch schon vor Veröffentlichung im Netz an Microsoft gesendet, doch Microsoft hat bis jetzt nicht mitgeteilt, wann und ob man sich um die Sicherheitslücke kümmere. Konkret es ist möglich, sämtliche Mausbewegungen eines Benutzers zu protokollieren.
Dazu benötigt man keine speziell präparierte Seite, sondern der Code lässt sich auch durch externe Dienstleister in Form von Werbebannern und Co auf beliebigen Seiten einpflanzen. Die Finder der Lücke teilten mit, dass hier unter Umständen virtuelle Keyboards, die man ja nutzt, damit Keylogger nicht die Tastaturanschläge protokollieren, unnütz würden. Der Mauszeiger wird nicht nur getrackt, wenn er sich über dem Browserfenster bewegt, sondern auch außerhalb. Eine Demo befindet sich hier.
Bitte hinterlasst hier KEINE Kommentare von der Art „Hö. IE ist kacke. Und ich bin toll, weil ich Chrome nutze.“. Du bist dann ein Held und tust etwas gutes für mich (und caschy). 🙂
So langsam kann man ja keiner Software mehr vertrauen. Immer ist irgendwo noch ein Loch durch welches Schadcode eingespeist werden kann.
Außerdem glaube ich, dass bei Software aus den USA, die von renomierten Herstellern vertrieben wird immer noch ein CIA, FBI und sonstiger Geheimdienst, sich einhacken kann und dann munter drauf los spionieren kann.
Und irgendwann kommen dann findige Menschen auf den Plan die diese Lücken herausfinden
DANKE
Ich habe die Testversion von IE10 auf meinem Win7 Notebook installiert und kurz getestet. Eigentlich ist das kein schlechter Browser. Zum Umstieg hat er mich – wie seine Vorversionen auch nicht – aber nicht bewogen.
Dass Sicherheitslücken auftauchen wundert mich nicht. Ist bei FF, Chrome & Co. auch so …
„sondern der Code lässt sich auch durch externe Dienstleister in Form von Werbebannern und Co auf beliebigen Seiten einpflanzen“
wenn man sich JavaScript von Drittanbietern, die so etwas machen würden auf seiner Seite einbauen würde hätte man ohnehin ein Problem. Dann gäbe es nämlich weitaus leichtere Methoden um die Daten der Benutzer zu stehlen.
Das eigentliche Problem mit der aktuellen Sicherheitslücke dürfte sein, dass es ausreicht, eine beliebige Seite mit dem Schadcode im Hintergrund offen zu haben. Auch wenn dann gerade Skype oder das Onlinebanking im Vordergrund sind könnte die Seite im Hintergrund die eingegebenen Informationen mitschneiden.
Daran krankt „Windows“. Der Markenname ist verbraucht, genau wegen dieser Problematik. Microsoft täte gut daran noch mutiger zu sein und Singularis zu pushen statt des ollen Windows, das gar keine Fenster mehr hat und immer mehr vor sich her gammelt.
Wer Spione sucht, sollte sich bei Adobe Gedanken machen. Wenn der Flashplayer einen Video abspielt, ist die beste Gelegenheit, gleichzeitig beliebige Daten nach außen zu schicken. Innerhalb der Datenflut eines Streams ist es auch einem gut informierten Anwender kaum noch möglich, herauszufinden, welcher Art die übertragenen Daten sind. Daß sich Adobe kaum Gedanken macht, die eigene Software den Wünschen der Anwender anzupassen und die „Ruckel“probleme zu beheben, die von Version zu Version schlimmer statt beser werden, belegt allein schon die ignorante und arrogante Einstellung die Softwareherstellers. Wie sonst ist es möglich, daß mit steigender Versinsnummer der Flashplayer der PC immer stärker ausgelastet ist und keine Besserung in Sicht ist? Bei demselben Video, und ohne HD-Filme zu sehen! Wenn nicht nur der Browser beim Ansehen eines Videos nicht mehr reagiert (teilweise kann man ihn noch nicht mal mehr schließen), sonder auch andere Anwendungen in die Knie gehen, sobald der Flaschplayer arbeitet, kommt ganz bestimmt keiner mehr auf den Gedanken, den IP-Datenstrom zu loggen. Bug oder so-gewollt, das ist hier die Frage? Man kann als entwickler eine „DoEvents“ einfach nur vergessen haben, oder sie absichtlich nicht implementiert haben. Nämlich dann, wenn man nicht möchte, daß der User noch etwas anderes tut außer den Video anzusehen.