Microsoft empfiehlt: Keine Links mehr anklicken

Microsoft gibt Ratschläge, anstatt Sicherheitslücken zu stopfen. Bereits seit dem 28. Januar 2004 ist bekannt , dass Microsoft am monatlichen "Patch-Day" im Februar 2004 endlich das einen Monat alte Sicherheitsleck im Internet Explorer beheben will. Das Sicherheitsloch vom Dezember 2003 verschleiert die tatsächliche URL in der Adresszeile des Browsers. Als zwischenzeitliche Abhilfe gibt Microsoft ein paar praxisferne Ratschläge.

30. Januar 2004 um 14:10 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Mitte Dezember 2003 wurde eine Sicherheitslücke im Internet Explorer bekannt, die eine tatsächliche URL in der Adresszeile verschleiert, so dass der Nutzer meint, auf einer anderen Webseite zu sein. Das kann ein Angreifer dazu missbrauchen, sensitive Daten zu sammeln, da der Nutzer annimmt, Daten an vertrauenswürdige Webseiten zu übermitteln. In einem Knowledge-Base-Artikel(öffnet im neuen Fenster) will Microsoft nun zur Überbrückung bis zur Veröffentlichung eines entsprechenden Patches Tipps geben, wie man nicht Opfer einer solchen "URL-Verschleierung" wird.

Nur leider sind die von Microsoft genannten Hinweise wenig bis gar nicht in die Praxis umsetzbar, denn Microsoft empfiehlt einfach, künftig nicht mehr auf Links zu klicken. Stattdessen soll man alle Webadressen manuell in die Adresszeile kopieren. Abgesehen davon, dass damit der Surf-Komfort massiv beeinträchtigt wird, funktioniert das nicht ohne weiteres, wenn es sich etwa um Webseiten mit JavaScript-Code handelt. Wesentlich praktikabler ist es an dieser Stelle, einen anderen Browser zu verwenden, der dieses Sicherheitsproblem nicht aufweist.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Word-Patch: Microsofts verwirrende Sicherheitsstrategie

Patch für Word 2003 erschienen; Mitte Februar 2004 Patch für Internet Explorer. Mit dem Erscheinen eines Patches für Word 2003 wird die neue Sicherheitsstrategie von Microsoft immer unverständlicher. Der eigenen Ankündigung nach wollte Microsoft eigentlich Patches für gefährliche Sicherheitslecks bei Bedarf unabhängig von dem nun monatlichen "Patch-Day" herausbringen, tat dies bislang jedoch nicht. Als überraschende Ausnahme veröffentlicht Microsoft nun einen Patch für einen aus Sicherheitsaspekten unbedeutenden Programmfehler in Word 2003. Eines der jüngsten Sicherheitslecks im Internet Explorer wird hingegen erst Mitte Februar 2004 beseitigt.

Weitere Sicherheitslücke im Internet Explorer

Fälschung von Dateiendungen möglich. Die Mailingliste Full Disclosure dokumentiert ein weiteres Sicherheitsloch im Internet Explorer, das nach einem ähnlichen Muster arbeitet wie der kürzlich bekannt gewordene Ordner-Bug in Windows XP. Ein Angreifer kann dem Internet Explorer Dateien mit falschen Endungen unterschieben, so dass ein Opfer vermeintlich sichere Dateien öffnet und so womöglich gefährlichen Programmcode ausführt.

Microsofts fragwürdige Auffassung von Sicherheit

Trotz bekannter Sicherheitslecks keine Sicherheits-Patches für Dezember 2003. Wie Microsoft bekannt gab, wird das Unternehmen im Dezember 2003 auf die Veröffentlichung der monatlichen Sicherheits-Patches verzichten. Die Ankündigung überrascht, da Ende November 2003 weitere schwere Sicherheitslöcher im Internet Explorer entdeckt wurden, ohne dass Microsoft bislang entsprechende Patches veröffentlicht hätte.

Relevante Themen