Internet-Software, Browser, FTP, SSH 4.695 Themen, 38.817 Beiträge

News: Microsoft meckert

Google-Plugin machte Internet Explorer löchrig

Michael Nickles / 13 Antworten / Flachansicht Nickles

Vor einem Monat stellte Google seinen Chrome Frame für den Internet Explorer vor (siehe Google jubelt Microsoft Chrome unter. Dabei wird der Motor des Internet Explorer quasi durch den schnelleren Chrome-Motor ersetzt.

Googles Open Source Projekt befindet sich noch in einem frühen Entwicklungsstadium, der Einsatz wird bislang nur für Testzwecke empfohlen. Gerade mal ein Tag verging, bis Microsoft auf die Veröffentlichung von Chrome Frame reagierte (siehe Microsoft warnt vor Google-Motor). Selbsterklärend warnte Microsoft vor dem Google-Plugin, da es ein extremes Sicherheitsrisiko darstelle.

Bizarrer Hintergrund: bei einem "Hacker-Wettbewerb" im März 2009 scheiterte der Internet Explorer kläglich. Er wurde wie fast alle anderen verbreiteten Browser bereits am ersten Tag "durchlöchert", nur Google Chrome überstand den ersten Hacker-Tag unbeschadet. Natürlich scheint Microsoft den "untergejubelten" Chrome-Motor aufmerksam zu verfolgen und hat jetzt Alarmstufe Rot aktiviert. Ein Sicherheitsforscher von Microsoft hat jetzt in Chrome Frame ein schwerwiegendes Sicherheitsloch entdeckt.

Google reagierte umgehend und teilte im Google Chrome Releases Blog mit, dass man bislang keine Ausnutzung des "Sicherheitslochs" erfahren habe. Dennoch hat Google umgehend eine neue Version des Google Frames veröffentlicht, bei der das Loch gestopft ist. Das Update auf die neue Version 4.0.245.1 passiert automatisch.

Michael Nickles meint: Ja, es ist schon eine Sauerrei. Da gibt sich ein Browser-Hersteller alle Mühe sein Ding sicher zu machen und dann frickelt da ein "Fremder" einfach sein Zeugs rein.

Das erinnert an einen Vorfall im Februar 2009. Da jubelte Microsoft Firefox-Installationen sein ".NET-Framework" unter. Laut diversen Berichten wurde das Microsoft-Plugin ohne Nachfrage beim Firefox eingenistet und viele beschwerten sich auch, dass sie es dort nicht mehr rauskriegen.

Die Firefox-Macher haben deshalb kürzlich konsequent reagiert und Firefox mit einem Blockiermechanismus ausgestattet, dass die Installation des ".NET"-Plugins blockiert.

bei Antwort benachrichtigen
Synthetic_codes Olaf19 „Dann frage ich mich allerdings, wieso Microsoft den Firefox-Usern nicht als...“
Optionen

1. Weil selbst der dümmste nutzer mittlerweile gemerkt hat, dass ActiveX eine einzige Sicherheitskatastrophe ist
2. Weil aus Punkt 1 resultiert, dass ActiveX ein sehr negatives Image hat
3. Weil es gewisse verzahnungen zwischen ActiveX und der Windows-API gibt, die sich über den Firefox nicht ohne weiteres implementieren lassen

davon ab kann der Firefox doch nur Addons/Plugins aus vom User authorisierten Quellen verwenden?
Wie immer muss man hier zwei fälle unterscheiden: Nehmen wir als beispiel dein Heimnetzwerk: Das ist gegen das internet prima gesichert, aber gegen angriffe aus deinem eigenen LAN bist du wahrscheinlich nicht mal halb so gut gesichert. Genauso ist es beim Firefox: Wenn du da etwas aus dem Internet reininstallieren willst, wie zb ein plugin oder ein Add-on, dann musst du das bestätigen. Wenn du aber eine Software installierst, die du schon lokal auf deinem PC hast, dann kann die nach belieben mit deinem Feuerfuchs und seinem Profil schalten und walten. Dazu sind Plugin-API und Add-On-API hervorragend im Internet dokumentiert, insbesondere was deren installation angeht. So gehen übrigens auch bei manchen Setup-Programmen diese Toolbar installer vor, ein Beispiel wäre hier DivX oder FoxitReader, welche irgendwelches ominöses Zeugs mitinstallieren wollen.

Wie schafft Windows, diesen Mechanismus auszuhebeln?!
Das Dot.Net Framework sucht bei der Installation nach den installierten Browsern, und wenn es was findet, dann Pfuscht äh integriert es seine eigenen komponenten ungefragt rein.

noch Fragen?

'); DROP TABLE users;--
bei Antwort benachrichtigen