Diskussionsforum
Forum zu:
Threads:
Übersicht
Menü

Korrektur zum Artikel


03.07.2004 16:28 - Gestartet von Keks
Um die Verwirrung ein wenig zu mindern:

Der neue Patch stopft m.W. nur eine (uralte) Lücke (eine von vielen) des IE, die nichts mit dem vor wenigen Tagen bekannt gewordenen Problem des Ausspähens von Daten in fremden Frames zu tun hat.

Testen kann man das "Phishing with Frames"-Problem hier:
http://www.heise.de/security/dienste/browsercheck/demos/ie/frame.shtml

Der Test ist für alle Browser gedacht. Nicht betroffen sind Mozilla 1.7 und der darauf basierende Firefox 0.9. Der IE ist trotz des aktuellen Patches immer noch betroffen!

Mozilla und Firefox:
http://www.mozilla-europe.org/de/

Liebe Grüße, Keks
www.blitztarif.de
Menü
[1] Kai Petzke antwortet auf Keks
03.07.2004 17:38
Benutzer Keks schrieb:

Der neue Patch stopft m.W. nur eine (uralte) Lücke (eine von vielen) des IE, die nichts mit dem vor wenigen Tagen bekannt gewordenen Problem des Ausspähens von Daten in fremden Frames zu tun hat.

Es gibt schon Zusammenhänge zwischen den beiden Lücken, denn in der Kombination ermöglichen sie möglicherweise drastischere Angriffe, als einzeln. Die schlimmste Form des Angriffs ist ja immer "remote code execution", und dazu ist abodb.stream dann ein Hilfsmittel gewesen, indem man damit eine Datei runterladen und lokal speichern ließ. Auf irgend einen anderen Weg musste der Angreifer dann noch das Sicherheitszonenmodell von Microsoft aushebeln, um die heruntergeladene Datei auszuführen. Von Webseiten aus ist dieses ja nicht möglich, von lokalen Dateien, die im Browser dargestellt werden, aber schon. Wenn nun ein Frameset teils Webseiten, teils lokale Dateien enthält, sind Cross-Frame-Zugriffe zwischen diesen beiden u.U. ein Weg, genau so einen Dateiaufruf hinzubekommen.

Ich habe jetzt den Artikel entsprechend präzisiert.


Kai
www.blitztarif.de
Menü
[1.1] Keks antwortet auf Kai Petzke
04.07.2004 04:47
Benutzer Kai Petzke schrieb:
Es gibt schon Zusammenhänge zwischen den beiden Lücken, denn in der Kombination ermöglichen sie möglicherweise drastischere Angriffe, als einzeln. [...] Wenn
nun ein Frameset teils Webseiten, teils lokale Dateien enthält, sind Cross-Frame-Zugriffe zwischen diesen beiden u.U. ein Weg, genau so einen Dateiaufruf hinzubekommen.

Das stimmt schon, aber der Patch schließt trotzdem nicht die Lücke, die grad bekannt wurde, sondern verkleinert sie folglich nur, um deiner Argumentation zu folgen. ;)

Ich habe jetzt den Artikel entsprechend präzisiert.

Ja, schön. Nur warum muss der Linktext so lang sein, so dass der Text rechts rausgeht? "Link zum Patch" oder sowas würde den Artikel nicht in der Breite zerreißen. Nur so als Anregung. ;)

Liebe Grüße, Keks