Schlagwort Archiv: Internet Explorer

Internet Explorer: Notfallupdate gegen RCE-Lücke

Im Internet Explorer klafft eine gefährliche Lücke.

Der Browser aus den 90ern bekommt zwar noch Updates, sollte jedoch schon längst abgelöst worden sein!
Quelle: Wikipedia

Microsoft schließt eine vom Google Mitarbeiter Clement Lecigne gemeldete Sicherheitslücke im Internet Explorer, die eine Remote-Code-Execution erlaubt (also das ausführen von fremdem Code auf dem eigenen Rechner).

Das Update wurde gestern veröffentlicht und ist somit außer der Reihe erschienen (normaler Patchday war am 11.8.), was unüblich ist und dem Update einen hohen Stellenwert einräumt.
Man sollte es daher zeitnah installieren.

Wer ist betroffen?

(mehr …)

Windows 10: Warum Microsoft sich verzählt hat

Nein.

Nein.

Vorweg wird dies ein (möglichst) sachlicher, aber dennoch sehr persönlicher Artikel über Windows 10 und darüber, dass es nicht toll wird.

Windows 10 kommt ja nun bekanntlich am 29.07. raus und das wollte ich natürlich nicht ohne vorherigem Test abwarten. Warum ich dabei von Windows 10 nicht wirklich begeistert bin, es noch nicht unbedingt besser als Windows 8 finde, werdet Ihr hier dann recht detailliert nachlesen können.

Dabei werde ich nicht Sachen wie „Viele Übersetzungen falsch“ bringen, weil sich das noch ändern wird. Was ist hier zeige sind große, störende, unnütze Dinge, die sich nur eventuell noch ändern werden.

Erster Kontakt mit Windows 10

Den ersten Kontakt mit Windows 10 hatte ich schon vor Monaten und machte schon da Bekanntschaft mit dem neuen Startmenü (welches ja stetig weiter entwickelt wurde) und vielen anderen Neuerungen (z.B. die Installation, etc.).

Nach der Installation dachte ich es wäre eine ganz besondere und neue Erfahrung Windows 10 zu benutzen und in den Händen zu halten, doch als ich so die ersten Programme installiert habe, war es irgendwie kein neues Erlebnis.

Der erste Eindruck zählt

(mehr …)

Patchday: Oracle, Adobe und Microsoft verteilen Updates

Oracle, Adobe und Windows haben Updates verteilt.

An diesem Patchday haben Oracle, Adobe und Windows Updates verteilt.

Es ist mal wieder soweit, der nächste Patchday mit Updates für Windows, Java, Flash, uvm. ist da. Und wie immer läuft auch dieses mal nicht alles glatt … zumindest nicht bei Microsoft.

Insgesamt wurden bei Oracle 98 Lücken gefixt, davon 14 in Java (3 kritische), bei Adobe Flash wurden 22 Lücken gefixt und Microsoft entfernte 26 Lücken. Wie gerade schon genannt, gab es auch dieses mal wieder Probleme mit Windows Updates, doch dazu gleich mehr.

Probleme bei Windows Update

Mit 26 entfernten Sicherheitslücken ist das Update Paket kleiner ausgefallen als das letzte. Dennoch sind viele Lücken als kritisch oder zumindest hoch eingestuft und sollten daher schnell installiert werden.

Bisher sind zwei Probleme bekannt:
  • Der SSRS-Dienst unter Windows Server 2008 R2 gibt nach Installation des Updates KB2990214 den Geist auf.
    Lösung des Problems ist die Deinstallation.
  • Wenn man Office 2010, Lync 2013 und das Update KB2889923 (Skype for Bussiness) installiert hat, hört Outlook 2010 auf zu funktionieren.
    Ein workaround gibt es auch schon: Outlook einfach im „Safe-Mode“ starten und die Funktion „Outlook Connector für soziale Netzwerke“ deaktivieren.

Oracle empfiehlt schnelles installieren

(mehr …)

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.

Welches Betriebssystem hat die meisten Sicherheitslücken?

Mac OS X hat die meisten Sicherheitslücken.

In Apples Mac OS X verstecken sich die meisten Sicherheitslücken.

Nach der Frage, welches Betriebssystem die meisten Sicherheitslücken hat, gibt es eine einfache Antwort: Mit ganzen 147 Sicherheitslücken ist Apples Mac OS X auf Platz 1. Davon werden 64 vom Unternehmen GFI als high eingestuft.
Direkt danach folgt iOS, was ebenfalls von Apple stammt, mit „nur noch“ (man beachte die Ironie-Anführungszeichen) 127 Sicherheitslücken von denen 32 als high eingestuft werden.

Auf Platz drei folgt dann der Linux Kernel mit ganzen 119 Lücken, von denen jedoch einige aus Software wie OpenSSL oder Shellshoch kommen. Von den 119 werden „nur“ 24 als high eingestuft.

Windows besetzt untere Plätze

Wenn man Absolute Zahlen betrachtet, ist Windows mit – je nach Version – ca. 35 Lücken eher wenig betroffen. Dennoch ist die Anzahl an als high eingestuften Lücken teils sogar noch höher als die von Linux. Allgemein muss man dabei bedenken, dass es mit Sicherheit Dopplungen in der Statistik gibt, da Lücken in Windows 7 auch in 8 und 8.1 bestehen können.

Auch in relativen Zahlen kann Windows nicht gerade glänzen. So sind von Windows 8.1 66% aller Sicherheitslücken als high eingestuft. Selbst bei Mac OS X, welches aus Platz 1 liegt, sind es nur 44% (bei Linux nur 20%). Zwar sprechen absolute Zahlen deutlichere Worte, aber ich denke dies verdeutlicht schön, dass Windows dennoch nicht sicher ist.

Apples Betriebssysteme weisen auffällig viele und Windows Systeme auffällig wenig Sicherheitslücken auf. Quelle: http://www.zdnet.de/wp-content/uploads/2015/02/OS-chart.jpg

Die meisten Sicherheitslücken im Internet Explorer

Neben dem Betriebssystem liegen die meisten Lücken in Software, die mit dem Internet zu tun hat, wie z.B. Internet Explorer, Chrome, Firefox, Java, Flash, WordPress, aber auch Adobes Reader, Acrobat, Datenbanken, etc.

An absoluter Spitze steht dabei der Internet Explorer von Microsoft mit sage und schreibe 242 Lücken, von denen unglaubliche 220 als schwerwiegend, bzw. high eingestuft sind. 22 Lücken sind somit nur medium oder low.

Firefox steht unter den großen drei Browsern (Internet Explorer, Chrome und Firefox) am besten da. Dieser hat „nur“ (wieder Ironie-Anführungszeichen) 117 Lücken, aber „nur“ (und schon wieder) die Hälfte ist als high eingestuft.

Statement

(eigene Meinung, bzw. Empfehlungen)
Ich denke, dass man mit Windows als normaler Benutzer ganz gut bedient ist. Wenn man sich ein wenig auskennt ist Linux denke ich die bessere Wahl, da es einfach nicht die Menge an Malware (Viren, Trojaner, etc.) gibt, die diese Lücken ausnutzen könnte.

Zu den Browsern: Nutzt kein Internet Explorer! Es gibt leider zu viele Anwendungen, die Internet Explorer im Hintergrund benutzen, doch bitte nutzt Firefox, oder wenn ihr eure Daten an Google verschenken nutzt Chrome, aber kein IE!!

Wie diese Statistik bei mobilen Betriebssystemen (außer iOS) aussieht, dürfte nochmal etwas anders aussehen 😉