Web Attack
- Ersteller striezel
- Erstellt am
R
RedBrain
Guest
Ich habe dieses auch bekommen trotz ohne Java-Laufzeitsumgebung auf meinem System. Ich glaube, der Server hat ein Sicherheitsleck.
Ja, der IE hat leider eine ungepatchte Lücke. Und zwar nur der IE!
IE in Kombination mit Virenscanner ist kein Problem. IE ohne Virenscanner ist einfach gar keine gute Idee.
Wir haben aber entsprechend reagiert und das Problem kann auch nur ganz kurze Zeit bestanden haben.
IE in Kombination mit Virenscanner ist kein Problem. IE ohne Virenscanner ist einfach gar keine gute Idee.
Wir haben aber entsprechend reagiert und das Problem kann auch nur ganz kurze Zeit bestanden haben.
WuBomber411
Komplett-PC-Aufrüster(in)
Hallo,
Ein privilegiertes Nutzer-Konto wurde kompromittiert, der Angreifer konnte eine Cross-Site-Scripting-Lücke ausnutzen und ein externes JavaScript in den Quelltext unserer Seite einbetten. Die Ursache war neben der inzwischen behobenen XSS-Lücke die Verwendung eines unsicheren Passworts. Das JavaScript würde von einem gehackten Server in den USA ausgeliefert, der Betreiber muss das allerdings recht schnell gemerkt haben und das das Script schon nach kurzer Zeit von seinem Server gelöscht. Über dieses JavaScript wurde versucht, eine kritische Sicherheitslücke im Internet Explorer auszunutzen, vor der das Bundesamt für Sicherheit in der Informationstechnik bereits seit 17. September warnt. Der Patch für diese Lücke wird seit 21.09. über Windows Update verteilt.
Wer sein Windows also seither aktualisiert hat und/oder den hier IE gar nicht verwendet und/oder einen aktuellen Virenscanner installiert hat, war nicht betroffen.
Viele Grüße
Markus
Ein privilegiertes Nutzer-Konto wurde kompromittiert, der Angreifer konnte eine Cross-Site-Scripting-Lücke ausnutzen und ein externes JavaScript in den Quelltext unserer Seite einbetten. Die Ursache war neben der inzwischen behobenen XSS-Lücke die Verwendung eines unsicheren Passworts. Das JavaScript würde von einem gehackten Server in den USA ausgeliefert, der Betreiber muss das allerdings recht schnell gemerkt haben und das das Script schon nach kurzer Zeit von seinem Server gelöscht. Über dieses JavaScript wurde versucht, eine kritische Sicherheitslücke im Internet Explorer auszunutzen, vor der das Bundesamt für Sicherheit in der Informationstechnik bereits seit 17. September warnt. Der Patch für diese Lücke wird seit 21.09. über Windows Update verteilt.
Wer sein Windows also seither aktualisiert hat und/oder den hier IE gar nicht verwendet und/oder einen aktuellen Virenscanner installiert hat, war nicht betroffen.
Viele Grüße
Markus
CheckerAlex
Schraubenverwechsler(in)
Noch ein Grund mehr den IE nicht zu verwenden. Dann kann ich mir nen Virus-Scan sparen.
WuBomber411
Komplett-PC-Aufrüster(in)
Hi Markus,
erstmal schönen Dank für deine ausführliche Erklärung! Benutze zwar selber FF + alle aktuellen Win7 Updates, aber hatte eure Seite trotzdem erstmal mit NoScript geblockt.
Da du "Ein privilegiertes Nutzer-Konto..." schreibst, kann man ja sicher davon ausgehen, dass irgendein Mod oder Admin gemeint ist!? (Oder gibt's hier etwa privilegierte User?)
Auch dass man solche Sachen heutzutage wohl kaum noch vermeiden kann, müsste ja mittlerweile jeder wissen. Vondaher kann man euch auch keinen Vorwurf machen.
Also, hoffe ihr arbeitet weiter fleißig an der Sicherheit hier. Würde es auch gut finden, wenn man als User, offiziell und zeitnah über solche Sachen im Forum informiert wird (Ist jetzt eher als Konstruktive Kritik gemeint!
).
MfG Wu
Ps ...find ist auch ein Beispiel, warum man selbst auf Seiten die man täglich besucht, nicht unbedingt immer seine Daten angeben sollte.
erstmal schönen Dank für deine ausführliche Erklärung! Benutze zwar selber FF + alle aktuellen Win7 Updates, aber hatte eure Seite trotzdem erstmal mit NoScript geblockt.
Da du "Ein privilegiertes Nutzer-Konto..." schreibst, kann man ja sicher davon ausgehen, dass irgendein Mod oder Admin gemeint ist!? (Oder gibt's hier etwa privilegierte User?)
Auch dass man solche Sachen heutzutage wohl kaum noch vermeiden kann, müsste ja mittlerweile jeder wissen. Vondaher kann man euch auch keinen Vorwurf machen.
Also, hoffe ihr arbeitet weiter fleißig an der Sicherheit hier. Würde es auch gut finden, wenn man als User, offiziell und zeitnah über solche Sachen im Forum informiert wird (Ist jetzt eher als Konstruktive Kritik gemeint!
).MfG Wu
Ps ...find ist auch ein Beispiel, warum man selbst auf Seiten die man täglich besucht, nicht unbedingt immer seine Daten angeben sollte.
