Neues Sammelpatch für IE 5.01, 5.5, 6.0 / u.a URL-Bug (Feb.2004)

#0
02.02.2004, 23:25
Moderator
Avatar joschi

Beiträge: 6466
#1 To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [MS/IE] Sammelpatch behebt mehrere kritische Probleme im Internet
Explorer

[MS/IE] Sammelpatch behebt mehrere kritische Probleme im Internet
Explorer
(2004-02-02 22:10:25.056625+01)
Quelle: http://www.microsoft.com/technet/security/bulletin/MS04-004.asp

Im MS Security Bulletin MS04-004 wird ein Sammelpatch für den Internet
Explorer 5.01, 5.5 sowie 6.0 beschrieben, der teils kritische
Schwachstellen behebt. Bitte beachten Sie, dass dieses Security-Update
relativ tief in die URL-Verarbeitung eingreift und möglicherweise
vorhandene Anwendungen beeinflusst (z.B. sogenannte @-Domains) (siehe
hierzu: [1]Q834489). Referenzen: [2]MS04-004 (deutsche Version),
[3]CAN-2003-1026, [4]CAN-2003-1027, [5]CAN-2003-1025

Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1178

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2004 RUS-CERT, Universität Stuttgart,
[7]http://CERT.Uni-Stuttgart.DE/

References

1. http://support.microsoft.com/default.aspx?scid=kb;en-us;834489
2. http://technet.microsoft.at/news_showpage.asp?newsid=12484&secid=1488
3. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1026
4. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1027
5. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1025
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1178
7. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
03.02.2004, 13:21
Member

Beiträge: 546
#2 Bzgl. "tief in die URL Verarbeitung eingreifen und somit Anwendungen blockieren":

Oh Mann...die Aussage von "Tecchannel.de" trifft den Kern:

"Die Anzeige gefälschter URLs im Browser, wir berichteten, hat Microsoft dabei mit der Holzhammermethode "repariert". Der Anzeigefehler des Browsers wird dadurch behoben, dass der Support für Benutzernamen und Passwörter in HTTP und HTTPS im Internet Explorer einfach abgeschaltet wird. URLs mit der Syntax "http(s)://username:password@server/resource.ext" werden also nach Angaben von Microsoft nach Einspielen des Patches nicht mehr unterstützt. Dabei handelt es sich bei der Funktion um einen anerkannten Internet-Standard."

[Sarkasmus on]
@Mircosoft: Warum so umständlich? Legt doch demnächst den Usern einfach Nahe, eine Firewall zu
benutzen und beim IE die Ports 80 & 443 blocken zu lassen. Thema erledigt.
[Sarkasmus off]

Ich bin beileibe kein Anti-Microsofti, aber hier verliere ich den Glauben an die menschliche Rasse.
Seitenanfang Seitenende
03.02.2004, 19:19
Member
Avatar Laserpointa

Beiträge: 2175
#3 sehr informativ zum Thema:

http://winfuture.de/news,13105.html
http://www.heise.de/newsticker/meldung/44268

steht unter anderem auch welche Bugs da behoben wurden... - und welchen Probleme der Bug mit sich bringt.

Greetz Lp
Seitenanfang Seitenende
03.02.2004, 20:05
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#4 Ein Grund mehr, den IE erst gar nicht zu starten und Alternativen wie Mozilla, Firebird oder Opera in Betracht zu ziehen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
03.02.2004, 20:09
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#5 nun ja, also es ist durchaus üblich, daß im ersten Schritt ein workaround für ein Problem gibt, der etwas abenteuerlich erscheint. Es bleibt aber zu hoffen, daß MS das noch anders in den Griff bekommt.

Es gibt aber die Möglichkeit das ganze auch wieder zu aktivieruen:

Code

To disable the new default behavior in Windows Explorer and Internet Explorer, create iexplore.exe and explorer.exe DWORD values in one of the following registry keys and set their value data to 0:

For all users:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

For the current user only:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
06.02.2004, 19:17
Member
Avatar Laserpointa

Beiträge: 2175
#6 Übrigens mal kurz gefasst, zum diesem ach so gefährlichen Bug und warum sich soviele User beschweren, das sie nicht mehr:
http//username:passwort@domain.de verwenden können
(Robert hat ja schon das Workaround gepostet.)

Das Problem besteht in folgendem und deshalb hat Microsoft dieses Feature vom standard her deaktiviert:

Zitat

Was glaubst du, wieviel Internetbenutzer wissen, dass wenn sie aufgefordert werden, auf http://www.amazon.de@www.blabla.de ihre Kreditkartendaten neu einzugeben, dass diese dann nicht bei www.amazon.de landen? Die meisten wissen dass nicht, die haben gelernt, ne URL fängt mit "http://www." meistens an, und das, was direkt dahintersteht, dort kommen sie hin.
bei anderen Browsern besteht dieser Fehler (Bug möchte ich es nicht nennen) übrigens weiterhin... - die armen MS Leute...

Greetz Lp
Dieser Beitrag wurde am 06.02.2004 um 19:19 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
06.02.2004, 19:50
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#7 Ich würde es schon Bug nennen, da laut RFC in einer HTTP Url keine username:password@ erlaubt ist.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
07.02.2004, 17:47
Administrator
Avatar Lukas

Beiträge: 1742
#8 für die die keine Lust haben umständlich an der Registry rumzubasteln:

Nutzer des Internet-Explorers können mit diesem Registry-Patch die Nutzung von Adressen in der Form "http://username:password@domain.com" wieder freischalten.

Einfach die Datei hinter dem Link speichern und dann ausführen.

http://www.protecus.de/hosting/undo_urlpatch.reg
__________
Gruß Lukas :yo
Seitenanfang Seitenende
07.02.2004, 20:21
Member

Beiträge: 337
#9 Hi Leute,

warum sich mit dem Krempel weiter 'rumärgern ?

Der genannte Patch ist bei mir auch installiert worden. Ich muß dazu sagen, daß mein System vor der Installation dieses Patches zwar nicht mordsmäßig toll, aber doch immerhin funktionierte.
Nach dem Patch war der Aufruf bestimmter Internet-Seiten (z.B. von Network Secure) nicht mehr möglich, weil sich das System dabei auf 100% Prozessorlast festfraß. Weiss der Geier warum. Das war für mich jedoch der Tropfen, der das Faß zum Überlaufen brachte. Seitdem verwende ich den IE nicht mehr für's Internet.

Dem IE habe ich jetzt die Flügel soweit gestutzt, daß es nur noch auf die Microsoft-Server zugreifen darf, was für ein Windows-Update, sofern man es nicht manuell durchführen möchte, wohl unbedingt erforderlich ist.

Für's Internet und für eMail benutze ich die neueste Mozilla-Version.
Seit dem flutscht die Kiste wieder so, als wär sie nagelneu.
Windows-Update funktioniert trotzdem noch .... also.... was will man mehr.

Cascade

Wieso bleiben meine Buchstaben nicht so da stehen wie ich sie mal geschrieben habe ?
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...
Dieser Beitrag wurde am 08.02.2004 um 06:54 Uhr von Cascade editiert.
Seitenanfang Seitenende
11.02.2004, 13:24
Member

Beiträge: 37
#10

Zitat

joschi postete
Ein Grund mehr, den IE erst gar nicht zu starten und Alternativen wie Mozilla, Firebird oder Opera in Betracht zu ziehen.
Hi, Joschi
Ich lese hier so oft, daß man den IE möglichst nicht mehr nutzen soll (warum ?).
Wenn ich Mozilla, Firebird oder Opera nutzen will, muß ich den IE dann
deinstallieren ? Habe leider nicht viel Ahnung davon.
Und wo bekomme ich einen anderen Browser her
Danke für eine Antwort
Seitenanfang Seitenende
11.02.2004, 20:30
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#11 http://www.mozilla.org/products/
(Mozilla und Firebird [heißt jetzt Firefox])

http://www.opera.com

Alles weiter zur Browserwahl-Diskussion: =>
http://board.protecus.de/t3673.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.04.2004, 10:42
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#12 Da bereits neue Probleme

Zitat

<A
href="http://www.microsoft.com">
<FORM action=http://www.malware.com/t-bill.html method=get>
<INPUT style="BORDER-RIGHT: 0pt;
BORDER-TOP: 0pt; FONT-SIZE: 10pt; BORDER-LEFT: 0pt; CURSOR:
hand; COLOR:
blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR: transparent;
TEXT-DECORATION: underline" type=submit
value=http://www.microsoft.com>
</A>
mit dem URL-Spoofing aufgetaucht sind, zeigt Microsoft hier alternative Wege, wie man solche gespooften URL´s erkennen kann.
Teilweise völlig ungeeignet für einen "einfach gestrickten" Anwender.

Auch andere Browser sind teilweise davon betroffen.
Näheres unter: http://www.heise.de/security/news/meldung/46200
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: