Neues IE-Patch (ADODB.Stream object), KB870669 von Microsoft.

#1

Zitat

Adodb.stream provides a method for reading and writing files on a hard drive. This by-design functionality is sometimes used by web applications. However, when combined with known security vulnerabilities in Microsoft Internet Explorer, it could allow an internet web site to execute script from the Local Machine Zone (LMZ). This occurs because the ADODB.Stream object allows access to the hard drive when hosted within Internet Explorer.

Das Patch ändert einen Regitry-Eintrag und deaktiviert den Aufruf des ADODB.Stream-Objekts im Internet Explorer.
Unter http://support.microsoft.com/default.aspx?kbid=870669 ist beschrieben, wie man das von Hand bewerkstelligen kann.
Der Donwload des Patches :
http://tinyurl.com/32kmx
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 Hallo,

bitte Vorsicht bei diesem "Patch"!

http://www.firewallinfo.de/index.php?option=content&task=view&id=2337&Itemid=

http://isc.sans.org/diary.php

#3 Auch "heise" berichtet: Internet-Explorer-Patch lässt Löcher offen
...mit dem treffenden Abschluss:

Zitat

...Darüber hinaus wird auch die Frage diskutiert, warum Microsoft für eine einfache Registry-Änderung fast zehn Monate benötigt hat....

__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Salut,

in dem Zusammenhang habe ich gleich noch eine Frage:

Ich habe den Patch eingespielt (Win2k) und später den Registry-Key auf den Ursprungswert eingestellt. Danach die URL mit "Windows Update" angewählt und diese meinte ich habe alle Patches eingespielt!

Wie funktioniert Windows Update? Denn offensichtlich ist mir hier eine Fehlinfo angegeben worden ...

Grüße, e2e4

#5 So ich bin jetzt etwas schlauer zum Ermitteln der Liste der installierten Updates:

http://support.microsoft.com/defaul...kb;en-us;282784

Innerhalb des Registry-Konstruktes gibt es ja nur den Wert "IsInstalled" und das ist natürlich recht leicht fälschbar und somit kann jmd eingespielte Updates vorgaukeln, die gar nicht eingespielt sind ... Irgendwie stellt mich das nicht so richtig zufrieden.

Grüße, e2e4

#6 Windows-Update hat erkannt, dass Du das Patch installiert hast. Es findet sich vermutlich unter "installierter Software" auch wieder. Wenn Du es nachträglich in der Registry wieder veränderst, ist das deine Sache.
Du hast als eher eine Fehlinfo an den Server gegeben den anders rum .
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7

Zitat

Du hast als eher eine Fehlinfo an den Server gegeben den anders rum

Dessen bin ich mir bewusst

Doch sehe ich in diesem Mechanismus auch irgendwo eine Gefahr.

#8 und wo genau?
Um den Registry Key zu ändern müsste das System doch bereits kompromittiert sein.
Schonmal mit Mbsa nach Updates gesucht?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9

Zitat

und wo genau? Um den Registry Key zu ändern müsste das System doch bereits kompromittiert sein.

Ja und nein, es gibt bei uns Projekte (Programmierung) wo die User aufgrund von diversen Tools lokaler Admin sein müssen. Dort kann dem Admin/WinUpdate und dergleichen vorgegaukelt werden, dass alles i.O. ist ... (obwohl der Patch evtl. nie installiert worde).

Nunja und das ein System kompromittiert wurde ist ja auch trotz allen Update-Haschens denkbar und so gewährt man dem Schädiger evtl. noch mehr Raum.

Mit MBSA beschäftige ich mich derzeit auch gerade. Leider sind die dortigen Ergebnisse für mich verwirrend, so fehlt lt. MBSA bei mir z.B.:

MS03-023
MS03-030
MS04-016

WindowsUpdate zeigt (natürlich) keine fehlenden Updates an. Installiere ich den Patch von Hand nochmal (z.B. MS03-023) fehlt er immer noch ...

Ich möchte in diesem Thread aber nicht garzu off-topic werden (evtl. einen neuen öffnen?)

Zurück zum Thema:

Mit diesem Artikel scheint sich die allgemeine Problematik auszuweiten und die Verantwortlichen sind vor die Frage gestellt.

Grüße, e2e4

#10 In Zusammenhang mit dem Zonen-Konzept des IE ist folgende Lücke (bei der Nutzung von Word als E-Mail-Editor [für Outlook]) zu beachten:

http://www.securityfocus.com/archive/1/368556

Grüße, e2e4