Sie sind nicht angemeldet.

Open-Source-Entwickler beseitigen Fehler im Internet Explorer

  • 1
  • 2

Skulip

unregistriert

1

Freitag, 19. Dezember 2003, 17:40

Open-Source-Entwickler beseitigen Fehler im Internet Explorer

Zitat

Die Open-Source- und Freeware-Entwicklungsseite Openwares.org hat einen Patch zum Download zur Verfügung gestellt, der die URL-Spoofing-Lücke im Internet Explorer schließt. Mit der Lücke ist es Angreifern mittels manipulierter Webseiten möglich, Anwendern des Internet Explorers gefälschte URLS unterzuschieben. Durch das Einfügen besonderer Zeichenketten ("%00", "%01") zeigt der Internet Explorer nur einen Teil der echten URL in der Adressleiste und in der Statusleiste an. Statt http://www.microsoft.com%01@www.heisec.de sieht der Anwender nur http://www.microsoft.com, obwohl er auf heise Security gelandet ist. Erste manipulierte Webseiten sind bereits aufgetaucht.

Microsoft hat bislang keinen eigenen Patch zur Verfügung gestellt. Am vergangenen Patch-Day, der zweite Mittwoch eines Monats, veröffentlichte Microsoft jedenfalls kein einziges neues Update. Stattdessen verwiesen die Redmonder auf einen Knowledge-Base-Artikel, in dem unter anderem als Workaround ein aus fast 200 Zeichen bestehendes Skript zum Eintippen in die Adressleiste empfohlen wird. Dass nun gerade die Open-Source-Gemeinde einen einfach zu installierenden Patch bereitstellt, dürfte Microsoft nicht besonders erfreuen.

Der Patch von Openwares.org steht als ausführbare Datei und als Quellcode zur Verfügung. Nach der Installation warnt eine HTML-Seite "Protected by IE Exploit Patch" im Browser beim Anklicken manipulierter URLs vor unliebsamen Überraschungen. Ob der Patch im Browser wirksam ist, können Anwender mit dem c't-Browsercheck überprüfen.

[Update] Der Openwares-Patch für den Internet Explorer baut größere Löcher ein, als er beseitigt. Ein Blick der heise-Security-Redaktion auf den Quell-Code ließ nichts Gutes erahnen: Ein Puffer zum Kopieren von URLs ist auf 256 Bytes begrenzt. Längere URLs provozieren einen Buffer Overflow, mit dem sich der Stack des Systems überschreiben lässt. Erste Tests bestätigten die Vermutung. URLs mit 500 Zeichen brachten den Internet Explorer zum Absturz, prinzipiell kann ein Angreifer damit aber auch eigenen Code in das System einschleusen und ausführen, um das System unter seine Kontrolle zu bringen. Ein Test zum Überprüfen der Sicherheitslücke steht auf den Seiten des c't-Browserchecks zu Verfügung:

[blink]Die Installation des Patches ist also auf keinen Fall empfehlenswert.[/blink]
Anwender die den Patch bereits eingespielt haben, sollten diesen unter Einstellungen/Systemssteuerung/Software wieder deinstallieren.

Des Weiteren sendet der Patch angeklickte manipulierte Links an ein Skript auf Openwares.org. Welchen Zweck die Betreiber der Seite damit verfolgen, ist noch unklar.


quelle heise.de

Des ist echt gut bringen irgendwelche ein Patch raus und der ist voll der Mist:frech:

Sollte dieser von Skulip verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Roland

unregistriert

2

Freitag, 19. Dezember 2003, 20:14

Ich glaub da freut sich MS ganz besonderst darüber, ich frag mich nur eins was soll des überhaupt???

Sollte dieser von Roland verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Skulip

unregistriert

3

Samstag, 20. Dezember 2003, 21:02

Des frag ich mich jeden Tag wenn ich Tageschau schau :D

Sollte dieser von Skulip verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Obiwan

unregistriert

4

Sonntag, 21. Dezember 2003, 12:28

Ich frage mich eher: Warum nutzen Leutz überhaupt noch den IE? *duck*g*
Es gibt doch Alternativen (selbst unter WIN) ...... :D

Sollte dieser von Obiwan verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Roland

unregistriert

5

Sonntag, 21. Dezember 2003, 15:39

Bin eigentlich fast nur in Linux online aber ein recht guter Browser ist der Mozilla 1.5 oder der neue 1.6 beta.
Der zeigt die Seiten fast so an wie der Explorer bis auf kleine Verschiebungen manchmal.

Sollte dieser von Roland verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

karl

unregistriert

6

Sonntag, 21. Dezember 2003, 19:10

Kann den jemand mal in die Database machen oder woher bekomme ich den???

Sollte dieser von karl verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Asisso

unregistriert

7

Sonntag, 21. Dezember 2003, 20:44

Hier isser machs dann auch in die Database rein.

Sollte dieser von Asisso verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Obiwan

unregistriert

8

Dienstag, 23. Dezember 2003, 10:42

@ Roland: Hab den 1.6er Mozilla auch schon getestet. Der errinnert mich stark an den Netscape 7.x für Windows. Ist mir aber unter Linux zu langsam. Versuch doch mal den (offiziellen) "Nachfolger" mozilla-Firebird. Der zeigt Pages genau so, ist aber ähnlich schnell wie Opera (hab ihn schon länger als Standart-Browser ... :D ) .... ;)

Zu finden unter: http://www.firebird-browser.de/

Besondere (zusätzliche) Highlights: NUR Browser (also ohne Mail- & Chatprogs), wirklich wirksamer PopUp-Blocker, simpel zu konfigurieren, bequemes Plugin-Nachladen und, und, und ......


PS.: Den gibbet auch für Windows.

Sollte dieser von Obiwan verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Roland

unregistriert

9

Dienstag, 23. Dezember 2003, 14:05

In Linux hab ich den Firebird, in Windows bin ich praktisch nicht mehr online.

Habs aber auch schon gemerkt das Firebird schneller in Linux ist.

Sollte dieser von Roland verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Asisso

unregistriert

10

Mittwoch, 24. Dezember 2003, 22:28

In Linux hab ich auch den Firebird aber irgendwie hab ich mich in Win so an den Explorer gewöhnt naja ok zugegeben [bt]DUMMHEIT[/bt]

Sollte dieser von Asisso verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Skulip

unregistriert

11

Mittwoch, 24. Dezember 2003, 22:56

Ich hab kürzlich was gelesen man kann Mozilla so aussehen lassen wie den IE. Auch die Bedienung hab aber kein Ahnung wo das war ich suchs mal.

Dann kannste ja den Explorer nutzen aber es ist in Wirklichkeit Mozilla.
Praktisch

Sollte dieser von Skulip verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Maestro2k5

Administrator

  • »Maestro2k5« ist männlich
    • Deutschland

Beiträge: 4 673

Aktivitätspunkte: 29 370

Registrierungsdatum: 26. Juni 2009

Wohnort: Erfurt

  • Nachricht senden

12

Donnerstag, 25. Dezember 2003, 10:23

Nunja OpenSource Entwickler haben wenigstens noch einen ehrgeiz was zu bewegen wobei bei M$$$$$$$$$$$$ nur noch der Gewinn zählt
Carpe Diem - Nutze den Tag

Sollte dieser von Maestro2k5 verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Obiwan

unregistriert

13

Samstag, 27. Dezember 2003, 11:30

Eben Morpheus, genau das ist des Pudels Kern. Ich möchte nur ein einziges Mal erleben, das ein MS-Produkt auch mal mit nem anderen BS kompatibel ist. Das lässt deren Arroganz doch goar nich zu. Im Gegenzug repariert jetzt schon die Open-Source den Gates-Schrott (IE), für meine Begriffe absolut lächerlich und blamabel für diesen Konzern ....... :tocktock2:

@ Roland: Da hatte ich Dich wohl nicht ganz richtig verstanden, war der Meinung Du nutzt den mozilla1.6 nu als Standart.

Hab den Firebird übrigens neulich auch mal unter WIN getestet, bei mir lief er ähnlich schnell wie Opera. Für meine Begriffe ein echter Alternativ-Tipp für WIN-User .... ;)

(falls das jetzt jemand von den WIN-Nutzern probieren möchte, ladet Euch nur die gepackte (und ausführbare) Version, die läuft nach dem Entpacken einwandfrei per Klick auf firebird.exe oder einer Desktop-Verknüpfung. Die installierbare Version bekam ich auf Anhieb nicht ans Laufen. Hab aber auch ehrlich gesagt, keinen Bock mehr, mich unter Windoof noch großartig auf die Fehler-Suche zu machen .... :D )

Sollte dieser von Obiwan verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

karl

unregistriert

14

Montag, 29. Dezember 2003, 18:13

Das ist komisch viele Leute im Internet fluchen und hassen Microsoft aber die machen jedes Jahr immer noch Gewinne ?(

Sollte dieser von karl verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Maestro2k5

Administrator

  • »Maestro2k5« ist männlich
    • Deutschland

Beiträge: 4 673

Aktivitätspunkte: 29 370

Registrierungsdatum: 26. Juni 2009

Wohnort: Erfurt

  • Nachricht senden

15

Montag, 29. Dezember 2003, 21:38

Gewinne naja viele werden förmlich gewzwungen da MS leider noch gerade im Office bereich jahrelange kunden hat und die umzugewöhnen ist als Admin sehr schwer. Also Mozzila läuft wenn ich unte Win unterwegs bin nur als Browser hatte noch nie probs damit
Carpe Diem - Nutze den Tag

Sollte dieser von Maestro2k5 verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Roland

unregistriert

16

Dienstag, 30. Dezember 2003, 06:47

MS hats verstanden mit den Ideen anderer Leute Gewinn zu machen.
Und wie schon gesagt weil halt viele MS haben, weils halt vor ein paar Jahren keine Alternativen dawaren, würde das alles umzustellen sehr teuer werden.

Und wenn viele das gleiche Produkt haben können auch mehrer Leute an diesem Projekt weiterarbeiten.

Sollte dieser von Roland verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Maestro2k5

Administrator

  • »Maestro2k5« ist männlich
    • Deutschland

Beiträge: 4 673

Aktivitätspunkte: 29 370

Registrierungsdatum: 26. Juni 2009

Wohnort: Erfurt

  • Nachricht senden

17

Dienstag, 30. Dezember 2003, 08:31

Das ist es aber ich denke die nächsten Jahre werden eine verdammt harte Zeit für Big Bill und M$.
Carpe Diem - Nutze den Tag

Sollte dieser von Maestro2k5 verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

nointerest

Schüler

Beiträge: 155

Aktivitätspunkte: 805

Registrierungsdatum: 28. Dezember 2003

  • Nachricht senden

18

Dienstag, 30. Dezember 2003, 18:12

Bei Privatanwendern liegts wohl daran weil Win einfach immer mit drauf ist (wenn man mal von Aufrüst-PCs aus Ebay oder so absieht).

Mal ehrlich: Ich hab noch keinen PC gesehen auf dem LINUX vorinstalliert war... (außer manchmal IBM PC-Dos 7.0 von Vobis - und schön kleingedruckt...)

Sollte dieser von nointerest verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Skulip

unregistriert

19

Dienstag, 30. Dezember 2003, 20:31

Ich würd sogar sagen von den Neubeginner kennen ja nicht allzuviel Linux und viele wollen ja auch spielen.
Wenn einer so im Schulalter jetzt Linux hat und alle anderen Windows dann kann er ja nicht viel damit machen, gerade mit dem spielen.
Ich denk mal Windows gibts so lange schon Linux wird zwar vielleicht mehr werden aber die meisten werden trotzdem Windows benutzen.

Sollte dieser von Skulip verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

Obiwan

unregistriert

20

Mittwoch, 31. Dezember 2003, 12:35

Da habt ihr natürlich nicht ganz unrecht. Ich denke aber das sich das (vorinstalliertes BS) im Laufe der nächsten Zeit ändern wird. Soweit ich mich entsinne, hatte ich da schon mal von einzelnen PC-Anbietern gehört, die sowohl als auch im Angebot hatten. Die Probs lagen ja bisher meist im Treiber-Bereich. Und gerade in dem Bereich tut sich momentan ne Menge durch Distributoren wie SuSE. Die 9.0er ist auf (den meisten) Standart -PCs immerhin schon eben so einfach wie jedes MS-BS zu installieren. Sie enthält auch ein recht großes Spiele-Paket.
Mein Futzemann lernt jedenfalls beides gleichzeitig. Er hat auf seinem Rechner Win98 und den ersten Umgang mit Linux lernt er auf meinem (wenn Papa ihn mal ranlässt *g*) .... :D

Sollte dieser von Obiwan verfasste Beitrag Ihre Rechte verletzen, so bitten wir Sie unter Berufung auf das TMG Gesetz um eine kurze Mitteilung,
an dem im Impressum genannten Ansprechpartner.

  • 1
  • 2

Social Bookmarks