Tolles Feature oder fiese Lücke? Trick ruft bei URL-Eingabe ein Programm auf

Muss ich aber auch sagen. Ansonsten wären Installer-Programme ebenfalls Sicherheitslücken. Die "Silent-Installation" kann ausgenutzt werden, um unbemerkt Viren etc. zu installieren.

Es ist wohl eher ein unbedachtes Feature ...

 

Und da es nun Publik wurde, wird es wohl nicht mehr lange auf sich warten lassen bis es den ersten Virus bzw. Malware gibt die auf diesem Weg aufs System gelangen. Es ist schon gut das es die Journalistische Freiheit gibt, aber mache sollten nicht darüber zu schnell berichten.

Ja und die Ausrede das man darüber berichtet hat, lasse ich irgendwie nicht gelten, denn es gibt Leute die nicht täglich die News auf Pc-Welt oder irgend woanders lesen. Ich finde ein solches Verhalten unverantwortlich.

Mit freundlichen Grüßen

Gothie

 

die Lücke ?! wäre auszunutzen indem der Virus erst eine Verknüpfung (zu sich selbst) auf dem Desktop anlegt und dann über eine DLL-Injection diese über den IE6 mittels einer Schein-URL aufruft um so z.b. Autorun-Überwachungen auszutricksen.

der Trick funktioniert nicht in IE-Aufsätzen ! z.b. Maxthon.

 

Wir würden niemals über eine neue Lücke berichten, die Microsoft noch nicht kennt. Mir fällt ein Beispiel ein, indem wir Microsoft seinerzeit vor einer Veröffentlichung informierten, damit gehandelt werden konnte (mir fällt die Lücke grad nicht ein, aber es war eine ziemlich derbe).

In diesem Fall ist ja Microsoft offentsichtlich informiert und es ist wiederum unsere Aufgabe unsere Leser zu informieren. Das ist immernoch besser, als wenn das "Feature" dann ausgenutzt wird und wir nachher sagen müssen: "Wir wussten, das so etwas passieren könnte, wollten/konnten es Ihnen aber nicht sagen".

Generell gilt außerdem: Wir freuen uns über jeden Leser, der täglich vorbeischaut und uns liest =)

 

Ein Virus, der bereits auf dem Rechner ist, muss wohl kaum solche Verrenkungen machen.
Bekannterweise gibt es viele Startrampen, nicht nur die üblichen Run-Schlüssel.

Tatsache ist das, was ja auch in dem Artikel steht :

Also : Viel Lärm um nichts.

 

Gedächtnis wie ein Sieb?
http://www.pcwelt.de/news/sicherheit/103013/index1.html

 

was ist daran neu ?

wird doch schon seit Urzeiten so praktiziert.

 

Funktioniert aber nicht mit dem IE 7 Build 5450.4.

 

ist eigentlich nicht wirklich neu. bisher konnte man schon immer direkte pfade in die url des explorers eingeben und wurde dann zu diesen geleitet.

nur der gedanke in bezug auf ein schadprogramm- macht daraus wieder ein "gefährliches" feature.

 

Da schreibt aber garantiert niemand ein www. vor den Pfad. Das ist ja der Witz, die Leute wollen ja eine Webseite aufrufen, und wissen garnicht, dass sie eigentlich etwas für sie ganz unvorhersehbares machen.

Es funktioniert ja immerhin auch wenn der Link versteckt ist. Dadurch könnte ein Trojaner Zugriffe auf bestimmte Webseiten umleiten, zum Beispiel Bankwebseiten auf Phishing-Seiten. Die Meisten geben ja kein http:// vor der Adresse ein, weil der Browser das normalerweise automatisch macht.

 

Also das geht auch einfacher. Ist erstmal ein Schadprogramm auf dem Rechner ist es völlig egal WIE es das macht. ob nun mit einerm Link oder mit z.B einem Eintrag in die host datei, oder mit einer Änderung des Browsers...

 

Na gut, das ist allerdings auch wieder wahr. Aber was währe, wenn ein solcher Link auf einer Webseite zum Download angeboten wird? Man kann ja auch .lnk-Dateien runterladen, auch mit dem Internet-Explorer. Dadurch könnten unversierte Anwender dann doch gelinkt werden.

 

Nun kann ich keine PC-Welt mehr lesen, sondern muss immer rechnen...