" Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" uebermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.
Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.
Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.
Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.
Anmerkung:
Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschliessen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.
Lösung:
Filtern Sie den Datenverkehr am Netzwerkperimeter, so dass keinerlei Daten mehr an "msn.com" und "alexa.com" uebermittelt werden.
Am einfachsten bewerkstelligen Sie das, indem Sie die Datei "hosts" (i.d.R. zu finden unter Windows/System32/drivers/etc) um folgende Einträge ergänzen:
127.0.0.1 msn.com
127.0.0.1 alexa.com
Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schliessen Sie den Internet Explorer nach deren Benutzung jedes Mal.
Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen. "
Quellen:
http://it-secure-x.de/news.php?s=read&id=58
http://www.secunia.com/advisories/8955
Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge
Hi,
ich sehe das so, wer glaubt, mit seinem System und mit seiner Software sich in Sicherheit zu wiegen, der irrt sich gewaltig.
Software ist Software und Trojaner gab es schon, da war noch nicht im Entferntesten an Windows, Linux oder MacOS zu denken.
Ich möchte hier keinen zu Nahe treten, aber die Behauptung, dass ein bestimmter Browser sicherer ist als ein anderer, gleitet in den Bereich des Aberglaubens.
Es ist fast niedlich, wenn man eines der Programme IE, Konqueror, Netscape, Mozilla, Opera, Phoenix, Crazy Browser, Arachne (ein Browser im reellen DOS-Modus) u.v.a.m. als den sichersten Browser ansieht. (Vielleicht hilft noch das Überkreuzen der Finger, wenn man surft - Sorry, konnte nicht widerstehen). Spätestens nach dem ersten Trojaner oder nach dem ersten Mail-Angriff stürzt der Software-Gläubige von seinem hohen Ross.
In jedem Fall bleibt es nicht erspart, ein Sicherheits-Firewall-Konzept gedanklich sowie praktisch einzurichten.
Der IE ist in gewissen Punkten unsicher, das Bekanntwerden dieser Tatsache liegt mit Sicherheit daran, dass sich sehr viele Leute mit dem IE beschäftigen. Wenn genauso viel Leute einen anderen Browser verwenden würden, würden die Sicherheitslücken des anderen Browsers bekannt und häufig genannt werden.
>Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter
Das kann man mit Sicherheit verhindern, in dem man "msn.com" und "alexa.com" aus der Registry entfernt. Die Programme "Spybot" und "Ad-Aware" erledigen das für den Anwender.
Ein Nachhausetelefinieren des Systems (dabei ist es egal wie dieses System heißt Windows, Linux oder MacOS u.v.a.m.) kann beim Vorhandensein des Internetzugriffs in keinem Fall wirklich verhindert werden. Ich habe jahrelang programmiert und weiß, dass das keine leere Phrase ist.
Deshalb sind einige Hinweise angebracht.
Sensitive Daten nie im direktem Zugriff aufbewahren.
Dabei existieren folgende Verwirklichungsmöglichkeiten:
1. Sensitive Daten auf wechselbare Datenträger abspeichern (Diskette, Wechselplatte, CD ...)
2. Sensitive Daten verschlüsseln ("Echtzeitverschlüsselung" - PGPDisk, verschlüsselte Archive ...)
3. eine weitere Systempartition einrichten, auf der das weniger vertrauenswürdige Arbeits-System nicht zu greifen kann. Um die sensitiven Daten zu bearbeiten, muss das zusätzliche Sicherheitssystem gestartet werden.
Die Umsetzung mit der zusätzlichen Systempartition verwende ich in vielen Fällen. Darüber hinaus sichere ich das Arbeitssystem, in dem ich das zusätzliche System boote und ein ganz normales Zip-Archiv erzeuge. Die zusätzliche Systempartition ist als Miniystem eingerichtet.
Gruß
Teletom
Dieser Beitrag wurde unter Software, die von Menschen angefertigt wurde, verbrochen.
Für und Wider von TCPA/Palladium/Java