quote:

---

Zitat von Vepo
also
1.)IE

zu1.) ist hallt der standart und läuft ohne probs

---

quote:

---

Zitat von Lughwyn
1. Opera 7.10, wer er die beste Bedienung bietet (Mousegestures) und den wohl intelligensten Mailclient hat (M2).

2. Firebird (ex Phoenix) irgend ne "nightly binaries" vom Glendale (0.6).

*lol* IE ist einfach nur Schrott, ein riesiges Sicherheitsloch und Risiko für jeden der das Teil benützt. Kann ja nicht mal Tabed-Browsing schon, von Themes garnicht erst zu reden. Man dürfte den IE eigentlich garnicht brauchen, wenn man wüsste was man damit anrichtet (mal so wegen Open Standards).

Dazu ist der IE der einzige Browser den man mit 11 Zeichen HTML Code, bzw. eine HTML Tag, crashen kann ... beim einen oder andere Windows hängt sich gleich die Kiste auf. Das nenn ich Qualität! ;)

@Mythic : "kaum unterschiede gibt" ;) Würde ich jetzt nich so sagen, will hier aber nicht n fanboy geflame haben. Schon alleine der Unterschied den XUL & Gecko zu IE macht.

---

quote:

---

Zitat von Noerknhar
[x] IE

netscape suckt, den rest nie getestet weil ich eigentlich kein problem mitm IE hab und alle vorteile hab (java zB)

das bisschen spyware vom IE hab ich weggekloppt und deswegen isser halt gut^^

---

quote:

---

Zitat von plank
Crazy Browser. Ist eigentlich ein Plug in für den IE.

Rult voll ab das teil. Nie wieder was aderes.:)

---

1. XSL-Skripts deaktivieren Sicherheitseinstellungen
   Das Deaktivieren von Active Scripting, selbst von Microsoft häufig als Workaround für neue Sicherheitslöcher empfohlen, lässt sich mit Hilfe von XSL-Dateien umgehen.
   (Patch installieren)
   
2. Dateireferenzierung über Klassen-ID
   Ausführbare Dateien, die auf Grund ihrer angezeigten Dateiendung nicht als solche erkennbar sind, verführen Anwender häufig zu einem unbedachten Doppelklick. Angreifer tarnen daher ihre Malware gerne mittels doppelter Namenserweiterungen wie etwa Loveletter.txt.vbs. In der Standardeinstellung blenden sowohl der Windows Explorer als auch der Internet Explorer die Extension registrierter Dateitypen aus, so dass der User die vermeintlich harmlose Datei Loveletter.txt sieht.
   (kein Patch vorhanden - seit 2001 bekannt)
   
3. Dateizugriff über MSScriptcontrol.ScriptControl
   Über das ActiveX-Control MSScriptcontrol.ScriptControl und die Funktion GetObject ist es möglich, auf beliebige Dateien auf dem Rechner eines Surfers zuzugreifen und sie an einen Server zu übertragen.
   (Active Scripting deaktivieren)
   
4. Manipulierter MIME-Header und E-Mail-Attachments
   Durch eine Modifikation des MIME-Headers einer HTML-Mail führt der IE in den Versionen 5.01 und 5.5 Attachments mit ausführbarem Code automatisch aus.
   (Patch vorhanden)
   
5. IE 5.x und OLE-Datenbank für Internet Publishing
   Microsofts OLE-Datenbank für Internet Publishing (MSDAIPP.DSO) stellt ein Scripting-Interface zur Verfügung, über das man auf Objekte auf dem IIS 5.0 zugreifen kann.
   (kein Patch vorhanden - seit 2001 bekannt)
   
6. JVM und Media Player Skins
   Die Java-VM des Internet Explorer lässt sich in Verbindung mit dem Media Player 7 dazu verwenden, Daten auszuspähen. Schuld an der Lücke sind die neu eingeführten auswechselbaren Skins.
   (Windows Media Player 7 Security Patch)
   
7. Webclient NTLM-Authentification
   Microsoft reagiert mit diesem Patch auf Sicherheitslücken, die in Zusammenhang mit Microsoft Office 2000, Windows 2000 und Windows Me auftreten. Unter Umständen ermöglicht der Bug einem bösartigen Angreifer den Zugriff auf die verschlüsselten Zugangsdaten eines anderen Users, wenn dieser ein Office-Dokument von einem Webserver abruft.
   (Patch vorhanden)
   
8. IE und Media Player 7
   Eine via Internet Explorer auszunutzende Sicherheitslücke im Windows Media Player 7 ermöglicht das Lesen von Dateien auf der lokalen Festplatte. Dies öffnet der Ausführung beliebiger Programme Tür und Tor. Im schlimmsten Fall kann der Angreifer den Rechner komplett kontrollieren.
   (kein Patch vorhanden)
   
9. Print Template und File Upload
   Das so genannte "Browser Print Template" des IE 5.5 zur Verarbeitung von Druckvorlagen erlaubt einer Webapplikation, ungesicherte Vorlagen ohne Zustimmung des Users in dessen System einzuschleusen. Diese Vorlagen gelten per Definition als sicher und ermöglichen somit die Ausführung von ActiveX-Controls.
   (Patch vorhanden)
   
10. Object Type="text/html"
    Diese Sicherheitslücke funktioniert nach einem ähnlichen Prinzip wie das ebenfalls von Guninski aufgedeckte Sicherheitsloch vom 20.November (IE 5.x/Outlook). .chm-Dateien werden dabei in einem temporären Verzeichnis des Internet Explorer zwischengespeichert und dort ausgeführt.
    (kein Patch vorhanden)
    
11. CHM-Dateien in IE 5.x und Outlook
    Ein extremes Sicherheitsloch in IE 5.x in Verbindung mit Outlook ermöglicht das Ausführen von willkürlichen Programmen. Der Ansatzpunkt sind CHM-Dateien und das Auffinden eines Verzeichnisses für temporäre Internet-Explorer-Dateien. Ein bösartiger Angreifer kann dadurch die totale Kontrolle über den Rechner übernehmen.
    (Patch vorhanden)
    
12. Indexing Service
    Unter Windows 2000 zeigt sich ein Problem mit IE 5.x und Outlook, wenn der Indexdienst gestartet ist. Dieser erlaubt die Suche nach Dateien mit spezifischen Namen oder Inhalten sowie den Einsatz von Wildcards.
    (Patch vorhanden)
    
13. IE 5.5, Outlook und Java
    Das Sicherheitsloch betrifft neben dem Internet Explorer 5.5 auch Outlook. Es wird über ein Java-Applet gesteuert und erlaubt das Auslesen lokaler Dateien, willkürlicher URLs und der lokalen Verzeichnisstruktur. Der Fehler tritt auf, sobald eine entsprechende Webseite oder HTML-Nachricht gelesen wird.
    (kein Patch vorhanden)
    
14. Cross-Frame Security/Windows Spoofing
    Eine Variante des bereits im Januar 2000 von Georgi Guninski entdeckten und mit IE 5.0 beseitigt geglaubten Bugs öffnet verschiedene Sicherheitslöcher in Microsofts Browser. Verursacher scheint die Microsoft Scriptlet Component zu sein: Füttert man sie nicht nur mit einem URL, sondern hängt anschließend das Zeichen mit dem ASCII-Code 01 samt des angepeilten URL an ("%01beliebigeURL"), nimmt der Browser irrtümlicherweise an, die so geladene Seite stamme direkt von der angegebenen Site. Auf diese Weise hebelt der Bug die Sicherheitseinstellungen des Browsers aus.
    (kein Patch vorhanden)
    
15. IIS 5.0 Cross Site Scripting
    Die folgenden zwei Sicherheitslöcher, die Georgi Guninski meldet, sind keine Browser-Bugs im eigentlichen Sinne, betreffen jedoch jeden Surfer. Grundlage ist der Internet Information Server 5.0 unter Windows 2000. Die Sicherheitslücke wird über den Browser (IE oder NS) aufgestoßen, das eigentliche Problem befindet sich auf Seiten des Webservers. Die Bedrohung stellen dabei .shtml-Dateien oder die Datei /_vti_bin/shtml.dll dar.
    (Patch vorhanden)
    
16. Java VM Applet
    Die Microsoft Virtual Machine (JVM) läuft auf allen Microsoft Windows Betriebssystemen. Sie ist ebenfalls Bestandteil des Internet Explorer 4.x sowie 5.x.
    
    Die Java VM Applet-Sicherheitslücke erlaubt einem böswilligen Website-Betreiber über ein Java Applet, die Identität des Besuchers anzunehmen und in dessen Identität andere Webseiten zu besuchen und deren Informationen abzurufen. Die dem Java Applet mittels Sandbox gesetzten Grenzen können dabei auf Grund der Sicherheitslücke überschritten werden.
    (Patch vorhanden)
    
17. Programmstart unter Windows 98/2000
    Mit IE 5.x für Windows 98 lassen sich nach Aussagen von Georgi Guninski beliebige Dateien über das Microsoft Netzwerk ausführen. Dies betrifft zudem lokale Administratoren unter Windows 2000.
    (kein Patch vorhanden)
    
18. Scriptlet Rendering
    Dieses Sicherheitsloch erlaubt es einem Website-Betreiber, Dateien auf dem Computer eines Besuchers zu lesen, jedoch nicht zu löschen oder zu editieren.
    (Patch vorhanden)
    
19. Programmstart über Word/Access
    Microsoft Word 2000 und Access 2000 erlauben (mit oder ohne den Service Release 1a) das Ausführen eines beliebigen Programms, wenn ein Word-Dokument geöffnet ist. Der Programmstart kann nach Angaben von Georgi Guninski über den Internet Explorer beim Besuch einer Website oder beim Öffnen/Vorschau einer HTML-Nachricht in Outlook ausgeführt werden.
    (kein Patch vorhanden)
    
20. Virtual Machine Sandbox
    Java-Applets laufen in einer sicheren Umgebung, der so genannten Sandbox (Sandkasten). Normalerweise können sie diese Umgebung nicht verlassen und somit auch keine Daten auf dem Computer verändern. Durch eine Reihe von Schritten ist es jedoch möglich, diese Sperre zu umgehen und dem Applet vollen Zugriff auf den Computer zu erlauben.
    (Virtual Machine updaten!)
    
21. Probleme mit 128 Bit und NT
    Keine Sicherheitslücke im eigentlichen Sinne, aber dennoch ziemlich ärgerlich: Beim Update des Internet Explorers auf 5.01 Servicepack 1 oder auf die neue Version 5.5 wird gleichzeitig die 128-Bit-Verschlüsselung installiert.
    (kein Patch vorhanden)
    
22. Active Setup Control 2
    Das Active-Setup-Control behandelt jegliche von Microsoft signierte CAB-Datei als vertrauenswürdig und installiert sie deshalb ohne Rückfrage. Gleichzeitig kann der Webprogrammierer angeben, in welches Verzeichnis die geladene CAB-Datei auf dem Rechner des Benutzers zu schreiben ist. In Kombination kann ein böswilliger Webmaster eine Webseite erstellen, die dafür sorgt, dass wichtige Systemdateien zerstört werden.
    (Patch vorhanden)
    
23. Frame Domain Verification
    Wieder einmal ist Active Scripting Voraussetzung für einen Angriff, der das Cross-Domain-Sicherheitsmodell umgeht. Dieses soll dafür sorgen, dass Daten in verschiedenen Domains, etwa lokal und auf einem Internet-Host, voneinander abgeschirmt sind.
    
    Durch zwei fehlerhafte Funktionen im Internet Explorer lassen sich dennoch lokale Daten des Surfers ausspionieren.
    (Patch vorhanden)
    
24. Unauthorized Cookie Access
    Viele Surfer haben ihren Browser so konfiguriert, dass er Cookies - zumindest von ausgewählten Internetangeboten - akzeptiert. Schließlich geht der Inhalt der Datenkrümel nur die Site etwas an, die ihn gesetzt hat. Dieses Sicherheitskonzept weist jedoch Löcher auf.
    (Patch vorhanden)
    
25. Malformed Component Attribute
    Eine Webseite muss beim Aufruf eines ActiveX-Controls dessen Namen sowie alle benötigten Parameter übergeben. Dazu zählen beispielsweise Angaben, wo die Komponente zu finden ist oder welche Größe und Position eine Dialogbox besitzt.
    
    Einer dieser Parameter, das Codebase-Attribut, besitzt einen ungeprüften Puffer, den man durch einen überlangen String zum Überlaufen bringen kann.
    (Patch vorhanden)
    
26. Java aktiviert abgeschaltetes Scripting
    Etliche Sicherheitslücken des Internet Explorer kommen nicht zum Tragen, wenn man Active Scripting nicht zulässt. Aber selbst das gewährt keinen vollständigen Schutz. Wie der bulgarische Bugjäger Georgi Guninski herausgefunden hat, können Angreifer Java nutzen, um die Sicherheitslücken wieder zu öffnen.
    
    Dazu wird das Skript mit Hilfe von Java in einem Bereich gestartet, in dem sich Active Scripting nicht abschalten lässt.
    (kein Patch verfügbar)
    
27. Verborgene Programme in Wordpad
    Über eine Sicherheitslücke im Microsoft-Programm Wordpad lässt sich beliebiger Code auf Windows 9x-Rechnern ausführen. Dazu muss der Anwender ein in Wordpad eingebettetes oder verknüpftes Objekt doppelklicken. Das Programm, das sich dahinter verbirgt, startet ohne Rückfrage.
    (kein Patch vorhanden)
    
28. HTTP-Authentifizierung
    In der Grundeinstellung speichert der Internet Explorer Anwenderdaten und erlaubt so anderen Benutzern des gleichen Computers zu einem späteren Zeitpunkt auf passwortgeschützte Sites zuzugreifen.
    (kein Patch vorhanden)