Alte Browser – Sondermüll des Internets

Kommentieren Drucken

Treue Anhänger
Auf http://www.ie6countdown.com/champions.aspx führt Microsoft eine Liste der Länder, in denen der Anteil der IE 6-Benutzer unter 1% gesunken ist. Nach den USA erreichten die Tschechische Republik und Mexiko dieses hehre Ziel, im Dezember 2011. Deutschland wird in dieser Liste nicht einmal mit dem aktuellen Wert aufgeführt.

Browser-Statistik eines Tierheims, das mit 2000 Besuchern am Tag und einem repräsentativen Bevölkerungsschnitt ein schönes Beispiel bietet: Fast 3% der IE-Benutzer (die wiederum rund 40% der Besucher ausmachen) sitzt noch auf seiner Internet Explorer 6-Bombe und setzt sich ungeschützt den Gefahren des Internets aus.

Zombies
Was ist schlecht an Programmen, die seit einem Jahrzehnt Webseiten und Anwendungen so zuverlässig (?) zum Benutzer bringen? Und warum können sich die Anhänger der alten Browser ums Verrecken nicht von den Zombies des Internets trennen?

Sehen wir einmal von dem mangelnden Support für die Web-Standards ab: Bei jedem Browser sollte die Sicherheit der Benutzer im Vordergrund stehen. Es ist ja nun einmal keinesfalls so, dass die alten Würmer, Viren und Trojaner ohne Futter verhungern und aus dem Internet verschwinden. Im Gegenteil: Sie überleben genauso wie alte Browser. Je länger eine Sicherheitslücke bekannt ist, desto mehr Cracker weiden sich an ihr.

Die PC-Killer des letzten Jahrzehnts sind immer noch aktiv und neue Angreifer kommen immer wieder hinzu. Auch Service Packs verhelfen alten Browsern nicht zu einer wirklichen Verbesserung.

Die Eroberung des Browserfensters
Werfen wir einen Blick auf die »Windows Injection«: Am 30. Oktober 2006 veröffentlichte Secunia (http://secunia.com/) eine Sicherheitslücke in Internet Explorer 7, die IE 7 wohl offensichtlich von IE 6 geerbt hatte. Diese Sicherheitslücke hatte 2004 so ziemlich alle Browser erwischt.

Eine Phishing-Attacke nutzt die Gunst der Stunde, wenn eine vertrauenswürdige Seite in einem Fenster geöffnet ist und dann ein eigenes neues Fenster öffnet. Die Phishing-Attacke hi-jacked das Popup-Fenster der vertrauenswürdigen Seite und ab geht die Post …

  • Firefox veröffentlichte die Korrektur zwei Monate nach der Aufdeckung der Sicherheitslücke,
  • Netscape reagierte nach 6 Monaten,
  • Opera schloss das Sicherheitsloch zwei Monate nach der Veröffentlichung,
  • Konqueror gab die Korrekturen schon nach wenigen Tagen heraus,
  • Safari nach einem Monat.

In meinem Keller steht ein alter PC, eingemauert in Stahlbeton. Hier läuft tatsächlich noch der alte Internet Explorer 6. Er darf nur unter Aufsicht ins Internet ausgeführt werden, wenn »Subframes zwischen verschiedenen Domänen bewegen« aktiviert ist.

IE 6 Benutzer hingegen blieben von der Korrektur verschont. Microsoft weiß, dass eingeschworene Browserbenutzer entweder empfindlich oder gar nicht auf Updates reagieren.

Aufmerksame IE-User können sich damit behelfen, die Option »Subframes zwischen verschiedenen Domänen bewegen« zu deaktivieren: Internet Optionen / Sicherheit / Stufe anpassen.

Mal ehrlich: Wer kennt oder kannte diese Einstellung?

Per Voreinstellung in Internet Explorer 6 darf eine Anwendung also immer noch Subframes oder iFrames zwischen verschiedenen Domänen bewegen: Das ist des Pudels Kern, denn so können Daten aus einer Domäne in das Fenster einer anderen Domäne geschmuggelt werden.

Microsoft begründet das Stillschweigen und Stillhalten mit Ajax-Seiten, die das Ausliefern per iFrames über Domänen hinweg nutzen: Wenn die Einstellung »Subframes zwischen verschiedenen Domänen bewegen« deaktiviert wird, funktionieren solche Ajax-Anwendungen nicht mehr…

In Internet Explorer 7 hingegen ist diese Lücke per Vorgabe eingegrenzt: Dort ist die Sicherheits-Einstellung »Subframes zwischen verschiedenen Domänen bewegen« deaktiviert. Geht doch, oder?

Nun, jetzt sind wir zu einem der Gründe vorgedrungen, warum IE 6 in vielen Unternehmen immer noch eingesetzt wird und ohne Alternative dasteht: Es gibt immer noch Anwendungen, die auf sicherheitstechnisch fragwürdigen Techniken beruhen und diese Anwendungen laufen nicht mehr in den modernen Browsern.

Zero-Day- vs. Promi-Sicherheitslücken
Entsprechend dem Microsoft Security Intelligence Report vol. 11 (SIR11) richtet sich nur ein Prozent aller Angriffe gegen noch unbekannte und unbehobene Sicherheitslücken in Software. Das sind die sogenannten »Zero Day Exploits«, die bei der Entwicklung des Programms nicht berücksichtig wurden. Zero Day Exploits nutzen Lücken und Fehler, die noch nicht entdeckt wurden oder die vom Hersteller unter den Tisch gekehrt und verheimlicht werden.

Es erfordert viel Zeit und erfahrene Entwickler, um die Existenz der unbekannten Sicherheitsrisiken zu erforschen und – wenn der falsche Mann sie findet – für Angriffe auszunutzen.

Quelle: http://www.microsoft.com/presspass/press/2011/oct11/10-11SIRZeroPR.mspx?rss_fdn=Custom

99% aller Angriffe hingegen nutzt bekannte Sicherheitslücken. 90% aller Infekte entstehen sogar durch Sicherheitslücken, für die es seit mehr als einem Jahr einen Patch gibt. Alte Browser sind ein offenes Tor für Angriffe: Wohlbekannte und ausführlich beschriebene Sicherheitslücken sind verlockende Übungsobjekte für junge aufstrebende Hacker und alte Cyberkriminelle.

zugeordnete Kategorien: Endgeräte, Web-Techniken
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.