Internet Explorer 7: Wie steht es um die Sicherheit?

Seit gestern Abend ist die lang erwartete Internet Explorer 7 Beta 2 Preview öffentlich verfügbar. Wir von WinFuture haben die Freigabe dieser Preview als Anlass gesehen, den neuen Internet Explorer genauer unter die Lupe zu nehmen und in Sachen Sicherheit zu prüfen.

Als Basis für unseren Test diente eine Exploitsammlung, die Exploits zu den bekanntesten Lücken für den Internet Explorer 6 enthält. Mit diesen Exploits fütterten wir nun den Internet Explorer 7, um zu sehen, wie es um die neue Version steht. Bei einem Exploit (engl. to exploit - ausnutzen) handelt es sich um ein Programm oder ein Skript, dass sich eine Schwachstelle bzw. eine Sicherheitslücke zu Nutze macht.

Zuerst standen Denial of Service-Attacken (DoS-Attacken) auf dem Testprogramm. Hier zeigte sich der neue Internet Explorer ziemlich stabil und nur eine Attacke brachte den Browser zum Absturz. Zum Vergleich, bei seinem Vorgänger, dem Internet Explorer 6, resultierten alle fünf durchgeführten Attacken in einem Absturz des Browsers.

Bei dem Exploit, dass dem neuen Internet Explorer noch zu schaffen macht, handelt es sich um ein Javascript, das durch unsachgemäßen und vielfachen Aufruf der Funktion einen Absturz des Browsers herbeiführt.

Auch wenn wir zu diesem Zeitpunkt keinen direkten Vergleich zwischen Internet Explorer 7 und Firefox 1.5 durchführen wollten, war die Neugierde doch sehr groß, wie wohl der Feuerfuchs auf diese DoS-Attacken reagieren würde. Er meisterte alle Attacken allerdings, quittierte er diesen nicht mit einem Neustart und ließ uns die Browsersitzung fortsetzen.







Es wäre an dieser Stelle natürlich vollkommen unverantwortlich, wenn wir davon sprechen würden, dass der Internet Explorer sehr sicher geworden ist. Das lässt sich zu diesem Zeitpunkt nicht sagen und wie man auch bei anderen Anwendungen sieht, gibt es immer wieder Lücken. Uns ging es hierbei viel mehr um schon lange bekannte Lücken, die Microsoft bisher nicht bereit war zu beheben. Dass der Browser nur noch auf einen dieser bekannten Exploits reinfällt ist jedoch ein hoffnungsvolles Zeichen.

Nachdem diese Tests durchgeführt waren, standen als nächstes Spoofing-Attacken auf dem Programm. Nachdem wir jetzt gesehen hatten, dass die wohl bekanntesten DoS-Attacken nicht mehr greifen, glaubten wir, beim Unterjubeln von gefälschen Links ein ähnlich erfreuliches Ergebnis zu bekommen.

Hier wurden wir allerdings sehr enttäuscht. Wir mussten erkennen, dass wir mit den gleichen Mitteln wie schon zu Internet Explorer 6-Zeiten, dem Browser Links zu allen möglichen Seiten vorgaukeln und ein jedes Mal bestimmen konnten, welche Adresse wir dem User anzeigen wollen. Kein Mal enttarnte der Browser unseren Versuch, eine falsche Adresse dem Besucher unterzujubeln, sondern er zeigte immer brav die Adresse an, die wir bestimmten und nicht die wirkliche Adresse, auf die der Verweis zeigte.

Anstatt auf die Seiten von Microsoft zu kommen, wie es die Seite (für Detailansicht auf Bild unterhalb klicken), gelangten wir, ohne dass der Browser es für nötig hielt, die richtige Adresse anzuzeigen und ohne jegliche Warnung des aktivierten Phishingfilters auf WinFuture.de. Es ist immer noch möglich, mit einem Griff in die Trickkiste, dem Anwender, der mit dem Internet Explorer surft, gefälschte Links anzuzeigen.



Auch wenn das Ergebnis des letzten Tests mit den gefälschten Links sehr ernüchternd ist, lässt das Ergebnis unseres Tests mit DoS-Attacken doch Raum für ein wenig Hoffnung. Hoffen wir, dass Microsoft noch einiges am neuen Internet Explorer 7 verändern wird und dass es nicht beim aktuellen Stand der Neuerungen bleibt. Denn damit hätte der bekannte Browser zwar viele optische Neuerungen bekommen, in Sachen Sicherheit wäre aber vieles zum Leid der Anwender beim Alten geblieben.

Erklärung: Exploit | Denial of Service (DoS) | Spoofing

Download: IE7B2P-WindowsXP-x86-enu.exe (11,2 Mb; englisch)

Quelle

 

Ich bleibe erstmal beim Firefox.
Wenn die Final besser um sicherer ist, als Firefox dann werde ich umsteigen, aber vorher nicht!

 

naja ie 7 wird ebstmt sicherer sein als die adnere version, bloß der kommt jahr zuspät denke ich *g das teil sllte schon vor 1 jahr komen d wärs besser gewesen. mfg

 

Ich kenne da so eine Internetseite die mir immer einen Trojaner auf den PC laden will.

Ich gehe mit dem Firefox auf die Seite, nichts passiert.

Danach gehe ich mit dem IE7 auf die Seite, noch bevor die Seite komplet aufgebaut ist springt mir eine meldung von Norton Antivirus ins Auge. Probiere den IE7 zuschliessen und der PC stürtzt ab.

MFG
Daniel

 

Mir erzählt der IE 7 manchmal, wenn ich auf einen Hyperlink klicke, ich wäre offline. Und wenn ich dann auf "Try Again" klicke, gehts wieder.

Is halt erst die Beta 2 Preview!

 

Kann mich nicht über den IE 7 beschweren!
Bin ja eigentlich bzgl der Sicherheit ein FF Fan aber der IE 7 steht dem in nichts nach finde ich!

 

Bei mir stürzt der IE7 unter XP manchmal ab, d.h. er schließt sich einfach. Läßt sich aber nicht rekonstruieren. Unter Vista läuft er einwandfrei. Muß wohl noch Feinarbeit für XP geleistet werden.