JensusUT
Senior Member
Jo... URI! Nee, nicht das Ohmsche Gesetzt wird hier abgefragt... es handelt sich um den sogenannten Uniform Resource Identifier, wie er auf Webseiten als Möglichkeit eingesetzt werden kann, direkt per Klick auf einen mailto : -Link das jeweilige Mailprogramm zu starten.
Nun ist schon Anfang August 07 ein Problem bekannt geworden: Der neue InternetExplorer 7 in Kombination mit Windows XP behandelt URIs wohl nicht immer so wie gewünscht. So kann es vorkommen, dass man per " mailto:test%../../../../windows/system32/calc.exe".cmd " plötzlich den Taschenrechner auf dem Desktop vorfindet (wer es nicht glaubt: Link per "Start -> Ausführen" eingeben und Enter drücken). Microsoft wiegelte natürlich erst einmal ab und lies verlauten, alles nicht so wild, bis Anfang Oktober doch ein Umdenken einsetzte
Der schwarze Peter liegt dann also erst einmal bei bestimmten Programmen, welche URLs (oder URIs) entgegennehmen, an das Betriebssystem zur Bearbeitung weitergeben und somit anfällig für dieses Problem sind als da wären Firefox beziehungsweise Mozilla und Netscape, Miranda und AdobeAcrobat Reader.
Ich (ja, ich persönlich!) rate deswegen exklusiv hier im Sicherheitsforum jedem Boardie, seine Programme, die zum Surfen im WWW genutzt werden, auf Updates zu überprüfen (auch du, Lolly!!
).
Bisher haben das Problem behoben:
Firefox (MFSA 2007-36 URIs with invalid %-encoding mishandled by Windows)
Netscape
Acrobat Reader 8
Skype
Weitere, wesentlich ausführlichere (klar, die werden dafür ja auch bezahlt...) Infos findet ihr hier:
Adobe und Netscape patchen URI-Lücke - heise Security
URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig [2.Update] - heise Security
Gruß
Jensus
Nun ist schon Anfang August 07 ein Problem bekannt geworden: Der neue InternetExplorer 7 in Kombination mit Windows XP behandelt URIs wohl nicht immer so wie gewünscht. So kann es vorkommen, dass man per " mailto:test%../../../../windows/system32/calc.exe".cmd " plötzlich den Taschenrechner auf dem Desktop vorfindet (wer es nicht glaubt: Link per "Start -> Ausführen" eingeben und Enter drücken). Microsoft wiegelte natürlich erst einmal ab und lies verlauten, alles nicht so wild, bis Anfang Oktober doch ein Umdenken einsetzte
Der schwarze Peter liegt dann also erst einmal bei bestimmten Programmen, welche URLs (oder URIs) entgegennehmen, an das Betriebssystem zur Bearbeitung weitergeben und somit anfällig für dieses Problem sind als da wären Firefox beziehungsweise Mozilla und Netscape, Miranda und AdobeAcrobat Reader.
Ich (ja, ich persönlich!) rate deswegen exklusiv hier im Sicherheitsforum jedem Boardie, seine Programme, die zum Surfen im WWW genutzt werden, auf Updates zu überprüfen (auch du, Lolly!!
).Bisher haben das Problem behoben:
Firefox (MFSA 2007-36 URIs with invalid %-encoding mishandled by Windows)
Netscape
Acrobat Reader 8
Skype
Weitere, wesentlich ausführlichere (klar, die werden dafür ja auch bezahlt...) Infos findet ihr hier:
Adobe und Netscape patchen URI-Lücke - heise Security
URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig [2.Update] - heise Security
Gruß
Jensus