| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Tsunami 
Anmeldungsdatum: 12.02.2002
Beiträge: 1759
  |
 Beitrag 0 - Verfasst am: Di Feb 03, 2004 16:42 Titel: |
 |
|
Kumulativer Patch für den Internet Explorer 6 SP1 (22.01.2004 bzw 02.02.2004) :
Fehlerbeschreibung :
http://www.microsoft.com/technet....004.asp
Patch :
http://download.microsoft.com/downloa....894.exe
| Zitat: |
* Durch einen Fehler im sogenannten cross-domain security model (Webinhaltszonen) ist es möglich, dass eine manipulierte HTML Seite (oder HTML E-Mail) auf Informationen anderer Internetseiten (zB cookies) zugreifen kann. Es ist auch möglich, dass Dateien von dem heimischen Rechner ausgelesen und automatisch verschickt werden sowie das Ausführen von Quellcode im Kontext des angemeldeten Benutzers.
* Durch einen weiteren Fehler ist es möglich, dass beliebige Dateien allein durch Anklicken eines Links auf der Festplatte gespeichert werden - OHNE das der Benutzer gefragt wird bzw. eine Rückmeldung erhällt. Solch an Link kann natürlich auch in einer E-Mail enthalten sein! Die Datei (bzw. der Code) wird zu diesem Zeitpunk nicht ausgeführt sondern nur abgespeichert.
* Über den dritten Fehler haben wir schon einige Male berichtet, es ist wohl auch der kritischte und bekanntest Bug der letzten Zeit: Durch einen Fehler in der URL Verarbeitung des Internet Explorer besteht die Möglichkeit das Internetseiten aufgerufen werden, die eine gefälschte Adresse besitzen. Das heißt, dass es nicht unbedingt gegeben sein muss, dass wenn zB WinFuture.de in der Adresseleiste steht, dass man sich auch wirklich auf dieser Seite befindet. Im Falle solch eines manipulierten Links hat der Benutzer sogut wie keine Möglichkeit herrauszufinden auf welcher Website er sich wirklich befindet, da auch im Eigenschaftsmenü die gefälschte Adresse eingetragen ist.
Durch das Fixen dieses Bugs fällt allerdings auch eine recht nützliche Funktion weg: Mit dem einspielen dieses Patches ist es nicht mehr möglich Authentifizierungsinformationen direkt in der URL zu übergeben (also zB http(s)://username:password@server/ ).
Dieser Patch wird für alle Systeme als kritisch eingestuft - nur unter Windows 2003 trägt er lediglich die Bezeichnung Important (Wichtig) da dieses System einige weiterentwickelte Sicherheitsmechanismen besitzt.
|
|
|
 |
Chavez
Anmeldungsdatum: 15.12.2001
Beiträge: 137
Wohnort: Frankfurt am Main
|
| Beitrag 1 - Verfasst am: Di Feb 03, 2004 20:13 Titel: |
|
|
Danke für den Hinweis. Da kann sich BillyBoy ja mal wieder in die Ecke stellen und sich schämen. Da fällt mir nur das folgende zu ein 
| Zitat: |
Microsoft-Chef Bill Gates fühlt sich nach eigenen Angaben mitschuldig am mangelhaften Schutz vieler Computer vor Viren und unerwünschten E-Mails. In seinem Unternehmen herrsche ein "Schuldgefühl", dass die Aktualisierung einfacher Schutzprogramme nicht schneller voranschreite, sagte der Manager nach Angaben der Nachrichtenagentur CTK am Dienstag bei einem Vortrag auf dem Microsoft Security Summit in Prag. |
_________________
Erst kurz im Forum und schon alles durcheinandergebracht ;) |
|
|
rasta21
Anmeldungsdatum: 04.09.2002
Beiträge: 122
|
| Beitrag 2 - Verfasst am: Di Feb 03, 2004 22:32 Titel: |
|
|
...damit wär die liste nicht gepatchter bekannter sicherheitslücken im ie ja wieder auf unter 30 gesunken....klasse 
_________________
greetz rasta21@doom9/gleitz board |
|
|
DV User
Anmeldungsdatum: 19.07.2001
Beiträge: 4084
Wohnort: Penzberg
|
|
|
Tsunami
Anmeldungsdatum: 12.02.2002
Beiträge: 1759
|
|
|
|
FAQ
Suchen
Mitgliederliste
Einloggen, um private Nachrichten zu lesen
Profil
Login
Registrieren
