Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Schwere Sicherheitslücke in Internet Explorer 6 und 7

Am Wochenende wurde eine Sicherheitslücke im Internet Explorer 6 und 7 für Windows bekannt, über den Angreifer schädliche Programmanweisungen einschleusen können. Das Problem besteht bei der Verarbeitung von CSS-Informationen (Cascading Style Sheets), die im Zusammenspiel mit Web-Scripts unter bestimmten Umständen auch nach dem Löschen von HTML-Elementen noch als freigegebene Speicherbereiche abrufbar sind. Schuld ist ein fehlerhafter Pointer, der allerdings nur im Internet Explorer 6 und 7 auftreten kann. Ältere und neuere Versionen des Internet Explorers sind nicht betroffen. Microsoft empfiehlt Anwendern, die Sicherheitszone für Internet und Intranet auf Hoch zu stellen, bevor Webseiten mit Scripts aufgerufen werden. Bisher ist Microsoft nicht bekannt, dass die Sicherheitslücke aktiv ausgenutzt wird. Microsoft untersucht momentan noch das Problem und will alsbald eine Sicherheitsaktualisierung anbieten.

Weiterführende Links:
Deepseek: Neue KI aus China schickt Aktien der etablierten Hersteller auf Talfahrt
Deepseek: Neue KI aus China schickt Aktien der ...
iPhone 17 Pro: Leaks sollen Details zur neuen Rückseite zeigen – Apple ordnet Kameras neu an
iPhone 17 Pro: Leaks sollen Details zur neuen R...
iPhone 17 "Air"
iPhone 17 "Air"
PIN-Code erraten: Dauer
PIN-Code erraten: Dauer
Vor 35 Jahren: Der "Diesel" in der Apple-Spitze
Vor 35 Jahren: Der "Diesel" in der Apple-Spitze
Vor 18 Jahren: iPhone, Apple TV und "Apple Inc."
Vor 18 Jahren: iPhone, Apple TV und "Apple Inc."
Apple Music: Sonderangebot mit massiver Preissenkung für sechs Monate +++ Replay mit Hörgewohnheiten für Januar verfügbar
Apple Music: Sonderangebot mit massiver Preisse...
Das Apple-Frühjahr 2025
Das Apple-Frühjahr 2025

Kommentare

haemm0r24.11.09 10:15
Hat ja starke Relevanz für OS X
MacBook Pro late 2007, 15", 2,4GHz, 4GB DDR2 RAM, 256MB Nvidia 8600M GT, 120GB OCZ Vertex 2 / 160GB HD (kein Superdrive mehr nach 3 Laufwerksschäden 8-D )
0
gentux
gentux24.11.09 10:19
Dass dieses Icon anno 2009 noch eingesetzt wird... jaja IE 5.2.3
0
eribula
eribula24.11.09 10:20
Ich hab ihn noch auf dem Rechner ... warum auch immer
0
Kovu
Kovu24.11.09 10:21
MacTechNews wird das neue heise?
Aber ernsthaft... diese Meldung hat doch wirklich keine Relevanz für Mac-User.
0
sb24.11.09 10:27
Für alle Anwender die Sharing-Funktionen in Parallels, VMware oder Virtual Box nutzen, hat das schon eine gewisse Relevanz.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
ExMacRabbitPro24.11.09 10:31
Hallo Leute!
so oft wie hier im Forum Bootcamp, VMWare und Parallels sowie Windows auf dem Mac allgemein thematisiert wird, scheint mir die Relevanz doch recht hoch zu sein....
0
Tiger
Tiger24.11.09 11:05
Sehe ich genau so. Ich habe aus beruflichen Gründen Windows unter VMWare installert und ich denke, da bin ich bei weitem nicht der einzige un bin froh darüber, dass MTN über den Tellerrand schaut und solche News postet.
0
dom_beta24.11.09 11:38

Ich weiß nicht, seid doch froh, daß das hier auch erwähnt wird.
Außerdem: Bei Apple gibt es auch Sicherheitslücken.
...
0
ibasst
ibasst24.11.09 11:39
Hoffentlich ist die einzige Lösung das weltweite Zwangs-Update auf IE8 für alle Windows User.

Der Tag würde in die Geschichte eingehen als größte Party aller Webdesigner!
0
pogo3
pogo324.11.09 11:41
Kovu

Falls du es noch nicht gemerkt hast, das hat sich geändert. Es wurde nicht nur Intel als Prozessor übernommen.
Ich schmeiss alles hin und werd Prinzessin.
0
Richard
Richard24.11.09 11:47
"Microsoft empfiehlt Anwendern einen anderen Browser zu benutzen"

Mein Gott wäre das eine schöne Onlinewelt ohne den IE. Eigentlich müsste ich als Webprogrammierer MS jeden Monat eine Rechnung stellen.

@ibasst
Update auf dem IE8 hilft nicht viel. Das Teil ist auch nur Flickwerk. Ich frag mich warum Microsoft da so wenig Arbeit reinsteckt. Selbst in Redmond müsste die Bedeutung eines schnellen, guten Browsers doch angekommen sein.
iMac 27 :: MacBookPro Retina :: OS X 10.13
0
sierkb24.11.09 12:12
Bevor hier die Schadenfreude Überhand nimmt, mal nicht ganz so weit mit dem Finger auf MS zeigend aus dem Fenster lehnen, denn:

Meldung von gestern:
Opera 10.10 schließt "extrem" kritische Lücke
Der auslösende Fehler ist seit rund sechs Monaten bekannt und wurde zuvor bereits in Chrome, Firefox und Seamonkey bestätigt und beseitigt. Daneben sollen aber auch K-Meleon 1.5.x sowie die Bibliotheken von KDE (4.4.3) den Fehler aufweisen, durch den präparierte Webseiten Code auf den Heap schreiben und starten können.
[..]
Kern des Problems ist eine Format-String-Schwachstelle in mehreren Herstellerimplementierungen der C-Funktion dtoa zur Umwandlung von Zeichenketten in Gleitkommazahlen. Ursprünglich entdeckte der Sicherheitsspezialist Maksymilian Arciemowicz das Problem in der ähnlichen C-Funktion gdtoa im Juni dieses Jahres in NetBSD. Nach und nach stellte sich heraus, dass weitere Implementierung der libc fehlerhaft waren, darunter OpenBSD, FreeBSD und Mac OS X. Zumindest für OpenBSD 4.5, NetBSD 5.0 und FreeBSD 7.2/6.4 gab es Updates.

Opera Advisory: Heap buffer overflow in string to number conversion

CVE: CVE-2009-0689

Na, dann sind wir mal gespannt, wie lange Apple benötigen wird, um diese lt. Security Advisories ernste Sicherheits-Lücke entweder per Security-Update und/oder Safari-Update zu schließen (bei Firefox ist sie z.B. mit dem Update auf Firefox 3.5.4 geschlossen worden), sollte sie derzeit noch offen sein (ich gehe davon aus, dass Apple hier mit seiner gdtoa bzw. libc gegenüber FreeBSD, NetBSD und OpenBSD hinterherhinkt und noch die veraltete und damit angreifbare Version davon einsetzt).

Jedenfalls kann ich weder in den zuletzt gemachten Security Fixes von Apple nichts finden, das darauf hindeutet, dass man auch hier diese offenbar als "schwer" eingestufte Sicherheitslücke inzwischen gefixt hat, und auch im Source-Code von Libc bzw. gdtoa bei Apple () kann ich derzeit keinen Hinweis auf einen entsprechenden Fix finden, also steht ein solcher wohl noch aus...
0
ExMacRabbitPro24.11.09 13:13
Kern des Problems ist eine Format-String-Schwachstelle in mehreren Herstellerimplementierungen der C-Funktion dtoa zur Umwandlung von Zeichenketten in Gleitkommazahlen.

Hmm... wenn ich dtoa mal mit double-to-ascii "übersetzte", dann handelt es sich wohl eher um eine Funktion zur Unwandlung von Gleitkommazahlen in Zeichenketten....
0
sierkb24.11.09 13:28
ExMacRabbitPro:

Beide Richtungen sind wohl richtig, also Umwandlung von Gleitkommazahlen in Zeichenketten als auch umgekehrt Umwandlung von Zeichenketten in Gleitkommazahlen.

Siehe auch der entsprechende einleitende Kommentar im Quelltext der Header-Datei gdtoaimp.h , der sagt:
/* This is a variation on dtoa.c that converts arbitary binary
floating-point formats to and from decimal notation. It uses
double-precision arithmetic internally, so there are still
various #ifdefs that adapt the calculations to the native
double-precision arithmetic (any of IEEE, VAX D_floating,
or IBM mainframe arithmetic).
0
sierkb24.11.09 14:20
ExMacRabbitPro:

gdtoaimp.h wird in den Dateien dtoa.c und gdtoa.c (bei Darwin/MacOSX heißen sie wohl gdtoa-gdtoa-fbsd.c und gdtoa-dtoa-fbsd.c) gleich am Anfang via #include "gdtoaimp.h" inkludiert:

#include "gdtoaimp.h"

/* dtoa for IEEE arithmetic (dmg): convert double to ASCII string.
 *
 * Inspired by "How to Print Floating-Point Numbers Accurately" by
 * Guy L. Steele, Jr. and Jon L. White [Proc. ACM SIGPLAN '90, pp.
112-126].

gdtoa-dtoa-fbsd.c (aka dtoa.c) bei Darwin/MacOSX: , gdtoa-gdtoa-fbsd.c (aka gdtoa.c) bei Darwin/MacOSX:

Zum Vergleich dtoac bzw. gdtoa.c bei OpenBSD: , .
0
rotticom
rotticom24.11.09 14:42
Ich dachte immer Explorer ist Suaheli und bedeutet: Sicherheitslücke!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.