Benutzer von Windows Vista und dem IE7 können sich „sicher” fühlen. Laut dem Microsoft Security Bulletin MS07-017 sind Benutzer des IE7 unter Windows Vista vor den Angriffen über den „Animierten Cursor Exploit” dank des „Protected Mode” geschützt.

Klingt doch super, oder? Ja, wenn man ein paar Details außer Acht lässt.

So schreibt etwa Robert Vamosi, dass Angreifer trotz des „Protected Mode” - einer Art Sandkiste für den Browser - auf Daten des betroffenen Users zugreifen können. Lediglich das ausführen von bösen Programmen unterbindet der „Proteced Mode”. Also für mich ist es ein Problem, wenn irgendwelche Typen meine Daten lesen können – da kann Microsoft 20x schreiben, dass ich mit Vista und IE7 „protected” bin.

Und dann gibt es ja noch ein paar „Einschränkungen” bezgl. des „Proteced Mode”. So wird dieser etwa per default für „Vertrauenswürdige” und „Lokale” Seiten deaktiviert. Ebenso, wenn die User Account Control (UAC) deaktiviert wird, der IE als Administrator ausgeführt wird oder eine HTML-Datei vom lokalen Rechner ausgeführt wird.

„OK. Und?” höre ich jetzt viele (virtuell) Fragen. Nun ja. UAC ist für viele bereits der legitime Nachfolger der legendär-nervigen Büroklammer „Karl Klammer” aus Office und wird daher von genervten Usern einfach abgedreht. Und wer nach der (alten) Anleitung des ClubDigitalHome versucht hat, die Digitale Signatur und Bürgerkarte mit Vista einzurichten, hat UAC und „Protected Mode” entweder komplett angedreht oder bereits so durchlöchert, dass sie sowieso keinen erntshaften Schutz mehr bieten würden.

Ich würde daher postulieren, dass sich der IE7 unter Vista hinsichtlich des „Animierten Cursor Exploits” nur unwesentlich von anderen Browsern – egal ob von Microsoft oder anderen Herstellern – unterscheidet. Unsicher sind sie unter Windows alle.

Tagged as: ie, microsoft, mITtendrin, rant, security, vista, windows | Author: Martin Leyrer
[Samstag, 20070414, 19:12 | permanent link | 0 Kommentar(e)