Schulte

KL hat mit dem Patch die Verwendung der UUID abgestellt. Statt der eindeutigen rechnerbezogenen UUID wird nur noch eine KL-spezifische ID verwendet. Damit bist Du nicht mehr einer von einem, sondern einer von Millionen. Wie es die anderen machen (falls sie es überhaupt anbieten), ist mir (noch) nicht bekannt. Es kommt aber nur ein ähnlicher Weg in Frage. Alle gebräuchlichen Browser isolieren sich nach aussen. Wenn eine Kommunikation mit einem Systemprozess (hier Kaspersky) stattfinden soll, muss eine vergleichbare Lösung benutzt werden. Muss mich da mal schlau machen...

There's nothing wrong with trying it. But expect the unexpected. If MBAM or KL provide an update, the situation can change quickly.

Nochmal sorry, die Forensoftware ist einfach grottig. Hier die minimalisierte Form meines geplanten Beitrags: KL fügt in die Webseite ein Script ein. Das erkennt man im (veränderten) Quelltext an der Zeile: [leider nicht darstellbar] Damit wird ein Script injiziert, dass sich bereits auf dem eigenen Rechner befindet. Die Adresse wird nach localhost aufgelöst, das Script wird nicht aus dem Internet heruntergeladen. Das Script selbst ermöglicht die Kommunikation zwischen KAV/KIS und dem AddOn im Browser und damit mit der dargestellten Seite. Links können erfasst und eine Bewertung dargestellt werden. Um sicherzugehen, dass der erwartete Partner "angesprochen" wird, benutzte KL bislang die UUID, die auch das installierte Produkt identifiziert. Damit war die rechnerinterne Übertragung abgesichert, aber der Rechner eventuell nachverfolgbar. Im injizierten Script sieht das z. B. so aus: [leider nicht darstellbar] Die aufgerufene Webseite könnte diese Variable auslesen, wenn sie mit einem entsprechenden Script "bestückt" wurde. KL-Produkte prüfen aber die jeweils eingebetteten Scripte und können sie nach Bedarf auch blockieren. Wenn also eine Seite diese Variable abfragt, könnte KL dichtmachen. Ob das umgesetzt wird, kann ich natürlich nicht voraussagen. Aber die Möglichkeit besteht.

sorry, die Forumsoftware hat alles geschrottet. Ich mach morgen einen neuen Versuch.

KL wird da sicher nicht untätig bleiben. Um diese Information auszulesen, muss die Seite ein Script einsetzen. Eine andere Möglichkeit gibt es meines Wissens nicht. KL kann Scripts auf Webseiten blockieren... Versteh mich bitte nicht falsch, ich möchte nichts schönreden. Eine Bedrohung durch diesen (jetzt bekannten) Fehler kann ich dennoch nicht erkennen.

Siehs doch mal positiv: die Seite stellt fest: Oh ein Kaspersky-Nutzer. Dann liefere ich lieber den regulären und nicht den schädlichen Code aus...:smiley: Im Ernst: einen Rat kann ich hier nicht geben. Die KL-Lücke könnte nur eine Seite ausnutzen, die speziell dafür präpariert wurde. Wie viele davon gibt es und welche davon besuchst Du? Die Lücke ist da, keine Frage. Bist Du in Gefahr? Nein, ich denke nicht.

Hi Paul, it has never been a good idea to run two real-time scanners at the same time. In normal operation they may get along, but you can't tell what will happen if one (or both) of them detects malware. The system may crash - or the malware may be let through. No one can say for sure. Since you want to keep MBAM in any case, I wouldn't use an additional Kaspersky in your case.

Gut, lasse ich gelten. Der "sichere Zahlungsverkehr" z. B. ist recht beliebt. Der Gedanke kam mir nicht, da ich diese Komponenten und die "Untersuchung sicherer Verbindungen" nicht nutze.

Hi vch1, es ist selbstverständlich jedem selbst überlassen, welche AV-Lösung er benutzt oder ob er ganz darauf verzichtet. Hier wurde ein "gut gemeint" leider nicht zu Ende gedacht, dadurch entstand diese Trackingmöglichkeit. Du kannst aber sicher sein, dass MS, Google, FB, Amazon,... wesentlich mehr über Deine Surfgewohnheiten wissen als hier abgreifbar war. Und ob es je jemand genutzt hat, wissen wir auch nicht. Dass es sich um einen peinlichen Fehler handelt, habe ich glaub' schon erwähnt...

Du brauchst doch nur die Script-Injection abschalten. Dann funktioniert zwar der URL-Advisor nicht mehr, den halte ich persönlich aber eh für wertlos. Eine als sicher gekennzeichnete Seite könnte vor wenigen Minuten auf eine infizierte umgebogen worden sein und KL hat das noch nicht mitbekommen... Vielleicht kommt noch was, aber sicher nicht hier im Forum. Da schliesse ich mich astors Meinung an. Für KL ist die Sache mit dem Patch erstmal erledigt, aber der Fehler hat jetzt internationale Aufmerksamkeit erregt. Da muss KL Farbe bekennen.

Ganz so schlimm war Kasperskys Fehler dann auch nicht. Kriminelle konnten keine Daten ausspähen, auch "Dritte" konnten nichts ausspionieren. Mit einer Einschränkung: eine Webseite, die man besuchte, hatte die Möglichkeit, Kaspersky-Nutzer anhand der mit dem Script eingebundenen UUID wiederzuerkennen. Dazu musste in die Webseite natürlich eine entsprechende Funktion eingebunden sein. Ein "krimineller" Webseitenbetreiber hätte damit ähnliche Informationen erhalten können wie mit einem stinknormalen Tracking-Cookie. Betreibt er mehrere Seiten, könnte er dann KL-User über seine Seiten verfolgen. Die müsste man dann aber auch besucht haben. Mehr Info über den User konnte damit nicht abgegriffen werden. Für eine Firma, die sich auch dem Kampf gegen Tracking verschrieben hat, ist das natürlich peinlich. Für mich auch. Die Recherchen des Autors haben Hand und Fuss, aber einen kleinen Fehler hat er dann doch gemacht: das Script wird nicht wie angegeben vom KL-Server bezogen, sonder vom eigenen Rechner. Die URL wird auf localhost aufgelöst und führt nicht ins Internet.

Hallo hjhxyz, welche Seite hast Du (von welchem Land aus) aufgerufen? Bei mir erscheint da (beim Neukauf) recht prominent "Paypal":[spoiler][/spoiler] (Die Seite für eine Lizenzverlängerung kann ich mangels KPM leider nicht anfahren.)

Das ist das übliche Vorgehen. Die Datenbanken werden zusammengestellt und mit dem Zeitstempel versehen. Danach durchlaufen sie mehrere Stufen der Qualitätssicherung, das kann ein bis zwei Stunden dauern. Bestehen sie den Test nicht, werden sie zurückgewiesen und müsse neu erstellt werden. Dann kommt die Qualitätssicherung,... Ist der Test bestanden, sind sie bei Veröffentlichung bereits die besagten ein bis zwei Stunden alt.

Wenn KL die Anzeige weglässt, gibt es garantiert Proteste. Aber vielleicht sollte man ein anderes Kriterium heranziehen, da gebe ich Dir Recht. Übrigens gibt's jetzt die Signaturen von 14:00 Uhr.

Ich würde mich an eurer Stelle nicht verrückt machen. Es kam auch früher vor, dass die massgebliche Signaturen-Datenbank bis zu 24 Stunden nicht aktualisiert wurde. Heute spielt das aber kaum noch eine Rolle. Die Bedeutung von Signaturen ist immer weiter zurückgegangen. Der hauptsächliche Schutz wird durch die aktiven Komponenten und die Informationen aus der Cloud gewährleistet.

Theoretisch kann Kaspersky alles sehen, wenn der Browser das KL-Fake-Zertifikat akzeptiert. Das ist dann wie ein Man-in-the-Middle-Angriff, und das installierte KL-Produkt kann "mitlesen". Nach meiner Meinung widerspricht dies aber dem Gedanken des Tor-Netzes, es sollte nicht funktionieren. EmiliaS: Wäre es nicht einfacher, per Kindersicherung den Zugriff auf den Tor-Browser zu blockieren? Ich bin mir nicht ganz klar, warum Du Tor und Kindersicherung zusammen einsetzen möchtest... EDIT: Hi Tiranon, da hatten wir wohl einen ähnlichen Gedanken

Hallo EmiliaS, ich benutze selbst kein Tor, kann also nicht aus eigener Erfahrung sprechen. Widerspricht es aber nicht dem Gedanken von Tor, die gelieferten Inhalte auf dem Rechner des Users kontrollieren zu lassen? Dies wäre nur möglich, indem KIS den Datenstrom untersucht, bevor er den Browser erreicht. Dafür müsste dem Tor-Browser ein Root-Zertifikat von KL untergeschoben werden. Du kannst mal versuchen, ob er das mitmacht. Anleitung

Hi gmb, it's a new 'feature' in Chrome: Source

Hi tb93, I see a difference: in my case KL put the program into the trusted group, you did it manually. We should check the rights: double click the program in the list, then go to the tab 'Rights'. On my site everything is set to 'Inherit' (Erben) without any exception.[spoiler][/spoiler]

Hello tb93, the messages indicate that the program is not in the trusted group after all. Can you please check this?

The best option here is a complete shutdown and restart. With Windows 8/10 you can never know what will happen with a 'normal restart'...

Hi BinBin1, for the complete installation of the patches you have to restart the computer. Then they should be listed.

Hi astronaut954 , if my suspicion is correct, your computer will not be attacked directly, but the attack will be distributed to all IP addresses, they will be randomly selected. Maybe you ask your provider (Telefonica Brasil?) if they know anything about the attacks and if they can do something against them.

Danke, also eine Windows-Meldung. Wie sieht es hier aus? (Einstellungen->Schutz)

Hi Krieger99, die Meldung darf normalerweise nicht erscheinen, Datei-Anti-Virus gehört zu den wichtigsten Komponenten. Du sprichst von einer Neuinstallation. Hast Du dann zunächst die 2017 deinstalliert? PS: kannst Du bitte einen Screenshot der Datei-Anti-Virus Meldung einstellen? Habe das noch nie gesehen...