Microsoft Internet Explorer 5.0 Testbericht
ab 25,60 €
Billiger bei eBay?
Bei Amazon bestellen
Auf yopi.de gelistet seit 09/2003
Erfahrungsbericht von padden
EIn Problem ist immer da
Pro:
-
Kontra:
-
Empfehlung:
Ja
Microsofts Windows und die zugehörigen Produkte sind nicht gerade der Inbegriff an Systemsicherheit, das ist ein offenes Geheimnis. Die tiefe Integration des Internet Explorers in das Betriebssystem und die nahezu unbegrenzte Erweiterbarkeit durch Komponenten öffnen Angriffen aus dem Internet Tür und Tor. Besonders die Fähigkeit des Active ermöglicht Aktionen auf dem Computer des arglosen Website-Besuchers, deren Konsequenzen er zu keinem Zeitpunkt abschätzen kann. Im Zweifelsfall hilft hier nur das konsequente Deaktivieren von Active Scripting - auch wenn das letztlich bedeutet, dass einige Sites nicht mehr in ihrer vollen Funktionalität zu betrachten sind.
Vielen Anwendern ist gar nicht bewusst, dass ihre wenige Monate alte Internet-Explorer-Version sich inzwischen als so löchrig wie ein Schweizer Käse erwiesen hat. In schöner Regelmäßigkeit stoßen engagierte Tüftler wie Georgi Guninski auf immer neue Sicherheitslücken im Internet Explorer.
Auf den folgenden Seiten finden Sie chronologisch absteigend Beschreibungen der bekannten Bugs und die zugehörigen Gegenmaßnahmen. Beachten Sie dabei auch den Artikel IE, in dem wir die Sicherheitslöcher des letzten Jahres erfasst haben - denn so mancher Bug ist im IE 5.5 noch aktuell.
Die 5.5er-Version des Internet Explorers sollte dabei eigentlich mit den meisten bekannten Bugs klarkommen, so jedenfalls die Annahme. Wir haben alle nachvollziehbaren Bugs einem Test unterzogen und überprüft, ob dies tatsächlich stimmt. Allerdings zeigt sich, dass eine neue Versionsnummer nicht unbedingt auch mehr Sicherheit bedeutet, was insbesondere die von Georgi Guninski gefundenen Bugs anbelangt. Gefixte Sicherheitslöcher früherer IE-Versionen hat Microsoft jedoch soweit nachvollziehbar in der 5.5er-Version integriert.
Neu: Cross-Frame Security/Windows Spoofing
Manchmal kommen sie wieder...
Eine Variante des bereits im Januar von Georgi Guninski entdeckten und mit IE 5.0 beseitigt geglaubten öffnet verschiedene Sicherheitslöcher in Microsofts Browser. Als Verursacher scheint die Microsoft Scriptlet Component verantwortlich zu zeichnen: Füttert man sie nicht nur mit einem URL, sondern hängt anschließend das Zeichen mit dem ASCII-Code 01 samt des angepeilten URL an, nimmt der Browser irrtümlicherweise an, die so geladene Seite stamme direkt von der angegebenen Site. Auf diese Weise hebelt der Bug die Sicherheitseinstellungen des Browsers aus.
Baut ein übel gesinnter Angreifer den entsprechenden Code in seine Website ein, ergeben sich bei Aufruf einer solchen Page zwei mögliche Angriffswege. Zum einen kann der Angreifer lokale Files - sofern ihm deren Dateiname bekannt ist - auslesen. Die erscheint allerdings weniger bedenklich, da wohl nur selten sensitive Daten in Textfiles mit leicht zu erratenden Namen abgelegt werden.
Ein wesentlich höheres Risiko stellt dagegen der zweite mögliche Angriffsweg dar, das sogenannte Window Spoofing. Über dieses lässt sich dem Browser etwa vorgaukeln, er befände sich auf einer Trusted Site, obwohl nach wie vor der Zugriff auf die Site des Angreifers erfolgt. Auch der umgekehrte Weg ist möglich, indem ohne Wissen der Anwenders eine von ihm genutzte Site geöffnet und die dabei - etwa über Cookies - übermittelten Benutzerdaten abgefangen werden.
Neu: IIS 5.0 Cross Site Scripting
Die folgenden zwei Sicherheitslöcher, die Georgi Guninski meldet, sind keine Browser-Bugs im eigentlichen Sinne, betreffen jedoch jeden Surfer. Grundlage ist der Internet Information Server 5.0 unter Windows 2000. Die Sicherheitslücke wird über den Browser (IE oder NS) aufgestoßen, das eigentliche Problem befindet sich auf Seiten des Webservers. Die Bedrohung stellen dabei .shtml-Dateien oder die Datei /_vti_bin/shtml.dll dar.
Für den Sicherheitseinbruch über die shtml.dll-Datei müssen die FrontPage Server Extensions installiert sein.
Über spezielle URLs kann der Internet Information Server 5.0 dazu gebracht werden, spezifizierte Inhalte an den Browser zurückzusenden. Das Sicherheitsrisiko besteht insbesondere, wenn Javascript aktiviert ist. Es reicht dabei, dass der Surfer auf einen Link klickt oder bösartig aktivierte Webseiten aufruft. Der Internet Information Server liefert daraufhin vom Anwender bestimmte aktive Inhalte zurück.
Beide Angriffsarten greifen auf eine Fehlermeldung zurück, die entweder der Internet Information Server oder die FrontPage Server Extensions liefern.
Neu: Java VM Applet
Die Microsoft Virtual Machine (VM) läuft auf allen Microsoft Windows Betriebssystemen. Sie ist ebenfalls Bestandteil des Internet Explorer 4.x sowie 5.x.
Die Java VM Applet-Sicherheitslücke erlaubt einem böswilligen Website-Betreiber über ein Java Applet, die Identität des Besuchers anzunehmen und in dessen Identität andere Webseiten zu besuchen und deren Informationen abzurufen. Die dem Java Applet mittels Sandbox gesetzten Grenzen können dabei auf Grund der Sicherheitslücke überschritten werden.
Vielen Anwendern ist gar nicht bewusst, dass ihre wenige Monate alte Internet-Explorer-Version sich inzwischen als so löchrig wie ein Schweizer Käse erwiesen hat. In schöner Regelmäßigkeit stoßen engagierte Tüftler wie Georgi Guninski auf immer neue Sicherheitslücken im Internet Explorer.
Auf den folgenden Seiten finden Sie chronologisch absteigend Beschreibungen der bekannten Bugs und die zugehörigen Gegenmaßnahmen. Beachten Sie dabei auch den Artikel IE, in dem wir die Sicherheitslöcher des letzten Jahres erfasst haben - denn so mancher Bug ist im IE 5.5 noch aktuell.
Die 5.5er-Version des Internet Explorers sollte dabei eigentlich mit den meisten bekannten Bugs klarkommen, so jedenfalls die Annahme. Wir haben alle nachvollziehbaren Bugs einem Test unterzogen und überprüft, ob dies tatsächlich stimmt. Allerdings zeigt sich, dass eine neue Versionsnummer nicht unbedingt auch mehr Sicherheit bedeutet, was insbesondere die von Georgi Guninski gefundenen Bugs anbelangt. Gefixte Sicherheitslöcher früherer IE-Versionen hat Microsoft jedoch soweit nachvollziehbar in der 5.5er-Version integriert.
Neu: Cross-Frame Security/Windows Spoofing
Manchmal kommen sie wieder...
Eine Variante des bereits im Januar von Georgi Guninski entdeckten und mit IE 5.0 beseitigt geglaubten öffnet verschiedene Sicherheitslöcher in Microsofts Browser. Als Verursacher scheint die Microsoft Scriptlet Component verantwortlich zu zeichnen: Füttert man sie nicht nur mit einem URL, sondern hängt anschließend das Zeichen mit dem ASCII-Code 01 samt des angepeilten URL an, nimmt der Browser irrtümlicherweise an, die so geladene Seite stamme direkt von der angegebenen Site. Auf diese Weise hebelt der Bug die Sicherheitseinstellungen des Browsers aus.
Baut ein übel gesinnter Angreifer den entsprechenden Code in seine Website ein, ergeben sich bei Aufruf einer solchen Page zwei mögliche Angriffswege. Zum einen kann der Angreifer lokale Files - sofern ihm deren Dateiname bekannt ist - auslesen. Die erscheint allerdings weniger bedenklich, da wohl nur selten sensitive Daten in Textfiles mit leicht zu erratenden Namen abgelegt werden.
Ein wesentlich höheres Risiko stellt dagegen der zweite mögliche Angriffsweg dar, das sogenannte Window Spoofing. Über dieses lässt sich dem Browser etwa vorgaukeln, er befände sich auf einer Trusted Site, obwohl nach wie vor der Zugriff auf die Site des Angreifers erfolgt. Auch der umgekehrte Weg ist möglich, indem ohne Wissen der Anwenders eine von ihm genutzte Site geöffnet und die dabei - etwa über Cookies - übermittelten Benutzerdaten abgefangen werden.
Neu: IIS 5.0 Cross Site Scripting
Die folgenden zwei Sicherheitslöcher, die Georgi Guninski meldet, sind keine Browser-Bugs im eigentlichen Sinne, betreffen jedoch jeden Surfer. Grundlage ist der Internet Information Server 5.0 unter Windows 2000. Die Sicherheitslücke wird über den Browser (IE oder NS) aufgestoßen, das eigentliche Problem befindet sich auf Seiten des Webservers. Die Bedrohung stellen dabei .shtml-Dateien oder die Datei /_vti_bin/shtml.dll dar.
Für den Sicherheitseinbruch über die shtml.dll-Datei müssen die FrontPage Server Extensions installiert sein.
Über spezielle URLs kann der Internet Information Server 5.0 dazu gebracht werden, spezifizierte Inhalte an den Browser zurückzusenden. Das Sicherheitsrisiko besteht insbesondere, wenn Javascript aktiviert ist. Es reicht dabei, dass der Surfer auf einen Link klickt oder bösartig aktivierte Webseiten aufruft. Der Internet Information Server liefert daraufhin vom Anwender bestimmte aktive Inhalte zurück.
Beide Angriffsarten greifen auf eine Fehlermeldung zurück, die entweder der Internet Information Server oder die FrontPage Server Extensions liefern.
Neu: Java VM Applet
Die Microsoft Virtual Machine (VM) läuft auf allen Microsoft Windows Betriebssystemen. Sie ist ebenfalls Bestandteil des Internet Explorer 4.x sowie 5.x.
Die Java VM Applet-Sicherheitslücke erlaubt einem böswilligen Website-Betreiber über ein Java Applet, die Identität des Besuchers anzunehmen und in dessen Identität andere Webseiten zu besuchen und deren Informationen abzurufen. Die dem Java Applet mittels Sandbox gesetzten Grenzen können dabei auf Grund der Sicherheitslücke überschritten werden.
Meinungen
-
IE5 - Shortcuts verwenden 28.09.2005 von waltraud.d -
Die Nutzung dieses Brausers führ... 16.03.2002 von anonym -
EIn Problem ist immer da 13.02.2002 von padden
Informationen
Die Erfahrungsberichte in den einzelnen Kategorien stellen keine Meinungsäußerung der Yopi GmbH dar, sondern geben ausschließlich die Ansicht des jeweiligen Verfassers wieder. Beachten Sie weiter, dass bei Medikamenten außerdem gilt: Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker.
¹ Alle Preisangaben inkl. MwSt. und ggf. zzgl. Versand. Zwischenzeitl. Änderung der Preise, Lieferzeiten & Lieferkosten sind in Einzelfällen möglich. Alle Angaben erfolgen ohne Gewähr.
Bewerten / Kommentar schreiben