Allround Port

Zitat

Wie heute Nachmittag schon angekündigt hat Microsoft nun den lang erwarteten Sicherheits Patch für den Internet Explorer veröffentlicht. Es werden einige teils sehr kritische Fehler beseitigt (mehr dazu weiter unten). Der Patch ist für alle Versionen, ab 5.01, des IEs verfügbar. Die installation wird dringend empfohlen!

Hier nun eine Auflistung der behobenen Fehler sowie eine kurze Beschreibung:
Durch einen Fehler im sogenannten cross-domain security model (Webinhaltszonen) ist es möglich, dass eine manipulierte HTML Seite (oder HTML E-Mail) auf Informationen anderer Internetseiten (zB cookies) zugreifen kann. Es ist auch möglich, dass Dateien von dem heimischen Rechner ausgelesen und automatisch verschickt werden sowie das Ausführen von Quellcode im Kontext des angemeldeten Benutzers.


Durch einen weiteren Fehler ist es möglich, dass beliebige Dateien allein durch Anklicken eines Links auf der Festplatte gespeichert werden - OHNE das der Benutzer gefragt wird bzw. eine Rückmeldung erhällt. Solch an Link kann natürlich auch in einer E-Mail enthalten sein! Die Datei (bzw. der Code) wird zu diesem Zeitpunk nicht ausgeführt sondern nur abgespeichert.


Über den dritten Fehler haben wir schon einige Male berichtet, es ist wohl auch der kritischte und bekanntest Bug der letzten Zeit: Durch einen Fehler in der URL Verarbeitung des Internet Explorer besteht die Möglichkeit das Internetseiten aufgerufen werden, die eine gefälschte Adresse besitzen. Das heißt, dass es nicht unbedingt gegeben sein muss, dass wenn zB WinFuture.de in der Adresseleiste steht, dass man sich auch wirklich auf dieser Seite befindet. Im Falle solch eines manipulierten Links hat der Benutzer sogut wie keine Möglichkeit herrauszufinden auf welcher Website er sich wirklich befindet, da auch im Eigenschaftsmenü die gefälschte Adresse eingetragen ist.

Durch das Fixen dieses Bugs fällt allerdings auch eine recht nützliche Funktion weg: Mit dem einspielen dieses Patches ist es nicht mehr möglich Authentifizierungsinformationen direkt in der URL zu übergeben (also zB http(s)://username:password@server/ ).
Dieser Patch wird für alle Systeme als kritisch eingestuft - nur unter Windows 2003 trägt er lediglich die Bezeichnung Important (Wichtig) da dieses System einige weiterentwickelte Sicherheitsmechanismen besitzt.

Zitat

Original von comonser
Melde Update instaliert. Ich weiß noch letztes Jahr. Da gab es ein Sicherheitsupdate und keiner hat es installiert nach dem Motto mir passiert nischt und paar Monate später schreit die ganze Welt.

Zitat

Kaum hat Microsoft eine Korrektur der seit Monaten bekannten Mängel im Sicherheitsmodell des Internet Explorer zu Wege gebracht, muss das Unternehmen einen Critical Update zur Korrektur der Korrekturfolgen nachschieben.

Die Reparaturmaßnahme betrifft nicht den Browser selbst, sondern die Library MSXML 3.0, welche dem Internet Explorer und anderen Programmen zum Parsen von XML-Dateien dient. Die Probleme, denen der Folgepatch zu Leibe rücken soll, äußern sich offenbar nur, wenn man zuvor den kumulativen Internet-Explorer-Patch eingespielt hat. Dieser ist zwar für Benutzer des Microsoft-Browsers unverzichtbar, weil er schwer wiegende Risiken abwehrt, etwa das ungewollte Ausführen beliebigen Codes, wenn man eine Webadresse mit eingebettetem Benutzernamen aufsucht. Angesichts der einmal mehr zu Tage getretenen Folgeprobleme von Microsofts Programmnachbesserungen werden viele Anwender aber trotzdem einen bitteren Beigeschmack verspüren: Der Hersteller weist nämlich von vornherein darauf hin, der MSXML-Update lasse sich nicht rückgängig machen.