MS: General-Patch heilt Internet Explorer

RollerChris

RollerChris

R.I.P.
[ 16. Mai 2002 16:15:04 MEZ ]
Der Cumulativ-Pach ist in diversen Sprachversionen vorhanden, unter anderem auch in deutsch. Neben den alten Lücken schließt der Patch auch sechs in jüngerer Vergangenheit entdeckte. Darunter den so genannten Cross-Site-Scripting-Bug, mit dem sich lokal gespeicherte HTML-Dateien missbrauchen lassen. Auch der Verwaltung von Cookies hat sich Microsoft angenommen. Bisher sei es möglich gewesen, durch Scripts fremde Cookies auszulesen. Je nach dort gespeicherter Information können sensible Informationen des Benutzers preisgegeben werden.
Weitere Fehler die Angreifern meist Tür und Tor öffnen betreffen unter anderem den Umgang mit HTML-Objekten für Cascading Style Sheets. Mit einer präparierten Webseite (oder per HTML-Mail) und Kenntnis über die Pfade zu den gewünschten Dateien lassen sich über die Lücke lokal gespeicherte Inhalte auslesen.
Des Weiteren behandelt der Patch eine Variante des Zone-Spoofing. Einem Angreifer kann es dabei gelingen, durch eine präparierte Webseite die voreingestellte Sicherheitsstufe des IE zu verlassen. Letztlich kann der Angreifer damit als vertauenswürdiger Intranet-Benutzer agieren.
Zwei weitere Lücken betreffen das Content Disposition-Phänomen. Dabei wird dem Internet Explorer über die Datei-Endung vorgegaukelt, eine Datei sei harmlos und könne automatisch abgehandelt werden. In Wirklichkeit versteckt sich aber ausführbarer Code in der Datei.
Mit dem Patch verändert Microsoft auch die Einstellungen der Zone "Eingeschränkte Sites". Programme, die auf diese Zone zugreifen, darunter Outlook, können nach der Änderung standardmäßig keine Frames mehr in dieser Zone verwenden. Es sei einem Angreifer damit unmöglich, über eine HTML-E-Mail ein Programmfenster zu öffnen oder einen Download anzustoßen, glaubt Microsoft.
Das zugehörige Bulletin MS02-023 mit Links zu den verschiedenen Patches finden Sie hier . Im kurzen Selbstversuch unter Windows XP mit IE 6 machte der Cumulativ Patch zumindest keine Probleme bei der Installation. Zusätzliche Informationen bietet der Report Aktuelle IE-Sicherheitslücken. (uba)
Quelle
 
Das IE6-Update selbst verlief problemlos,

auf den ersten Blick keine Unterscheide, wohl alles mehr unter der Motorhaube angesiedelt....
 
Das IE6-Update selbst verlief auch bei mir problemlos, allerdings laufen seit
diesem Patch zwei für Win98 geschriebene Anwendungen jetzt "immer mühsamer *)",
zB. ein Screenshot-Utility.

*) sowohl beim Format-Konvertieren BMP to GIF usw. als auch Druckausgabe.
 
Ich bin gerade am liveupdaten wobei er Bei rechner1 der direkt mit dem Net verbunden ist alles bis jetzt macht über Rechner 2. der am Netzwerk hängt geht z.zt. kein liveupdate aber darum kümmere ich mich später
 
Original geschrieben von SilverSurfer99
Das IE6-Update selbst verlief auch bei mir problemlos...
Zum Vergrößern anklicken....

Ich bin enttäuscht :)
Du nutzt das Scheunentor IE6?? Wie sieht es aus mit Opera und Mozilla??? Oder ist er nur zu Testzwecken auf deinem PC drauf ?
Und ausserdem: Schaut mal hier hin...
Happy Opera-ting :)
 
Hi JensusUT,

auch ich bin enttäuscht, seit der IE5.5 in der Firma als Standardbrowser
festgelegt wurde. Warum soll es mir privat dann besser gehen?

Grüße SilverSurfer99
 
Original geschrieben von SilverSurfer99

auch ich bin enttäuscht, seit der IE5.5 in der Firma als Standardbrowser festgelegt wurde. Warum soll es mir privat dann besser gehen?
Zum Vergrößern anklicken....

:D:D
In meiner Fa. ist noch die Version 5 Standard... Aber Opera läuft trotzdem, ist ja nur Shareware oder wie das heisst... :D:D Und ich teste nur kurz... lol
 
"In meiner Fa. ist noch die Version 5 Standard... Aber Opera läuft trotzdem.."

Für eine Firma kein gutes Zeichen, dass jedermann/-frau beliebig ins Internet
kommt, ohne von einer zentralen Firewall mit Proxy geblockt zu werden.

OK ich könnte das mit meinen Kenntnissen per Modem umgehen, aber dann
winkt mir die Entlassung in den freien Arbeitsmarkt.. *ggg*
 
Zu Opera möchte ich mich mal gerne ein Feedback an dieser Stelle geben. Ich versuche zur Zeit nun zaghaft auf ihn umzusteigen, da mich dieser ganze spionage-Mist beim IE und deren Fehler echt nerven. :)

Aber leider ist Opera auch nicht das gelbe vom Ei. Ich habe bemerkt das es immer wieder seiten gibt die der opera nicht mag, entweder er verändert mir die Seitengröße so das er kurzerhand danach abstürzt oder er versteht sich nicht mit Flash bzw. applet Dateien gut aus, somit muss ich bei bestimmten Seiten leider wieder auf IE zurückgreifen. Auch seiner Geschwindigkeit kann ich nicht überall beipflichten, entweder er zählt die Zeit ins unendliche und lädt nicht oder er braucht eine Ewigkeit bis die Seite einmal da ist. (Doppelpostings in verschieden anderen Foren hat mir dies schon öfters eingebracht :( ).

Damit ich hier keine Grundlosen Vorwürfe hieran stelle beweist dieser Link . Mit IE habe ich keine Probleme, aber bei opera sagt er zur Navigationsleiste "Invalid Bitcode"?
 
Original geschrieben von SilverSurfer99
Für eine Firma kein gutes Zeichen, dass jedermann/-frau beliebig ins Internet
kommt, ohne von einer zentralen Firewall mit Proxy geblockt zu werden.
Zum Vergrößern anklicken....

:confused
Natürlich gibt's ne FW... Aber das Passwort, was mir auch unter dem IE das Surfen ermöglicht, funktioniert halt auch unter Opera. Und da die Proxikonfiguration in den Eigenschaften des IEs zu erkennen ist, trage ich die auch bei den Opera-Proxy-Eigenschaften ein... Da kann wohl nur ein Application-FW helfen, oder? Und ob der ein grosses Firmennetz nicht langsamer macht... Was hindert dich daran, mit Opera aus der Fa. zu surfen? Genau der eben genannte Appl.-FW??

@-=SubSys=-: Also, der Link funktioniert bei mir einwandfrei :) Welche Version benutzt du denn grade? Die momentan aktuelle 6.02 ist eigentlich schon recht fehlerfrei, sehr interessant sind für mich wirklich Seiten, die nicht funktionieren bzw. Opera zum Absturz bringen... Denn eigentlich macht auch Flash keine Schwierigkeiten....??
Das Problem mit dem unendlichen Laden ist leider eine Reminiszenz an ein Sicherheitsloch des IEs, der sich über nicht "real" existierende Adressen ohne DNS-Eintrag (z.B. ebay.de) per Cookie auf "falsche" Sites leiten lässt...
Ich zitiere mal eben
"Der Punkt ist nicht das Problem, heißt ja einfach nur, daß ein Cookie für alle Subdomains von ebay.de gesetzt werden soll. Das Problem ist vielmehr, daß es ebay.de überhaupt nicht gibt! Man kann keine Cookies für Domains setzen, die es nicht gibt. Alles, was die lieben "Techniker" bei ebay machen müssen, ist ihrem dämlichen DNS-Server beizubringen, ebay.de auch aufzulösen. Der Grund, warum seit Opera 6 die Gültigkeit der Domain überprüft wird (und das "Problem" somit in älteren Opera-Versionen nicht auftritt), ist das Stopfen eines Cookie-Sicherheitsloches, wie von Yngve beschrieben. Alle Leute, die sich also in den dutzenden von Ebay-Threads (meine Güte, kann man vielleicht auch mal ausnahmsweise 20 Sekunden *lesen*, bevor man drauflospostet??) beschweren, daß es in den anderen tollen Browsern geht, sollten sich mal Gedanken über letzten 100 darin entdeckten Sicherheits- Löcher machen.
Der von Ebay angegebene Workaround, die Domain ebay.de in den Serverfiltern explizit zu erlauben, setzt natürlich den Sicherheitscheck außer Kraft, und der Cookie wird erlaubt. Denselben Effekt hat es, wenn man ebay.de mittels der hosts-Datei von Windows auf irgendeine IP mappt, um den Sicherheitscheck zufriedenzustellen.
Zum Vergrößern anklicken....


Wie gesagt: Genutze Version und Problemzonen, äh, -Seiten bitte melden :)
 
Hi JensusUT,

per EXE-Prozedur kann in 'meiner' Firma nur noch der IE5.5 genutzt werden, und
zwar die auf dem zentralen Proxy gespeicherte Version, die dann auf den lokalen
PCs in den Hauptspeicher geladen und gestartet wird.
Auf diesem schnellen Proxy sind auch die lokalen IP-Nummern 10.xxx.xx.xxx
der EDV-Maschinen hinterlegt, denen überhaupt Internet-Zugriff erlaubt ist.
Verbindungsversuche ohne diese EXE-Prozedur werden abgewiesen.

Die Absicherung ist aus Sicherheitsgründen also ziemlich perfekt. Aufgrund
von betrieblichen Vereinbarungen ist jeder Umgehungsversuch ein Verstoß
gegen den Arbeitsvertrag.
 
Original geschrieben von SilverSurfer99
Das IE6-Update selbst verlief auch bei mir problemlos, allerdings laufen seit
diesem Patch zwei für Win98 geschriebene Anwendungen jetzt "immer mühsamer *)",
zB. ein Screenshot-Utility.

*) sowohl beim Format-Konvertieren BMP to GIF usw. als auch Druckausgabe.
Zum Vergrößern anklicken....

Habe das Update zwei mal gemacht musste jedesmal Windows 98 neu drüber installieren, da nach dem Patch der Rechner im Grafikbereich immer schwerfälliger wird und schliesslich ganz abstürzt. Ich hatte erst das GIF Banner dieser Seite im Verdacht.

Nun steht Fest der Patch ist fehlerhaft.
 
Hi,
ich bin jetzt ungefähr drei Wochen lang mit dem IE 6 unterwegs gewesen. Nach dem Update war's eher schlechter als vorher.

Heute habe ich den IE 6 wieder aus W2k rausgeschmissen und den IE 5.5 neu installiert. Ergebnis:
Der erste Bluescreen seit über einem Jahr, nur weil ich die "persönlichen Einstellungen des IE 6" löschen wollte.
Nach dem Neustart war alles wieder ok.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben