Neues Sammelpatch für IE 5.01, 5.5, 6.0 / u.a URL-Bug (Feb.2004) |
||
---|---|---|
#0
| ||
02.02.2004, 23:25
Moderator
Beiträge: 6466 |
||
|
||
03.02.2004, 13:21
Member
Beiträge: 546 |
#2
Bzgl. "tief in die URL Verarbeitung eingreifen und somit Anwendungen blockieren":
Oh Mann...die Aussage von "Tecchannel.de" trifft den Kern: "Die Anzeige gefälschter URLs im Browser, wir berichteten, hat Microsoft dabei mit der Holzhammermethode "repariert". Der Anzeigefehler des Browsers wird dadurch behoben, dass der Support für Benutzernamen und Passwörter in HTTP und HTTPS im Internet Explorer einfach abgeschaltet wird. URLs mit der Syntax "http(s)://username:password@server/resource.ext" werden also nach Angaben von Microsoft nach Einspielen des Patches nicht mehr unterstützt. Dabei handelt es sich bei der Funktion um einen anerkannten Internet-Standard." [Sarkasmus on] @Mircosoft: Warum so umständlich? Legt doch demnächst den Usern einfach Nahe, eine Firewall zu benutzen und beim IE die Ports 80 & 443 blocken zu lassen. Thema erledigt. [Sarkasmus off] Ich bin beileibe kein Anti-Microsofti, aber hier verliere ich den Glauben an die menschliche Rasse. |
|
|
||
03.02.2004, 19:19
Member
Beiträge: 2176 |
#3
sehr informativ zum Thema:
http://winfuture.de/news,13105.html http://www.heise.de/newsticker/meldung/44268 steht unter anderem auch welche Bugs da behoben wurden... - und welchen Probleme der Bug mit sich bringt. Greetz Lp |
|
|
||
03.02.2004, 20:05
Moderator
Themenstarter Beiträge: 6466 |
||
|
||
03.02.2004, 20:09
Ehrenmitglied
Beiträge: 2283 |
#5
nun ja, also es ist durchaus üblich, daß im ersten Schritt ein workaround für ein Problem gibt, der etwas abenteuerlich erscheint. Es bleibt aber zu hoffen, daß MS das noch anders in den Griff bekommt.
Es gibt aber die Möglichkeit das ganze auch wieder zu aktivieruen: Code To disable the new default behavior in Windows Explorer and Internet Explorer, create iexplore.exe and explorer.exe DWORD values in one of the following registry keys and set their value data to 0:R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
06.02.2004, 19:17
Member
Beiträge: 2176 |
#6
Übrigens mal kurz gefasst, zum diesem ach so gefährlichen Bug und warum sich soviele User beschweren, das sie nicht mehr:
http//username:passwort@domain.de verwenden können (Robert hat ja schon das Workaround gepostet.) Das Problem besteht in folgendem und deshalb hat Microsoft dieses Feature vom standard her deaktiviert: Zitat Was glaubst du, wieviel Internetbenutzer wissen, dass wenn sie aufgefordert werden, auf http://www.amazon.de@www.blabla.de ihre Kreditkartendaten neu einzugeben, dass diese dann nicht bei www.amazon.de landen? Die meisten wissen dass nicht, die haben gelernt, ne URL fängt mit "http://www." meistens an, und das, was direkt dahintersteht, dort kommen sie hin.bei anderen Browsern besteht dieser Fehler (Bug möchte ich es nicht nennen) übrigens weiterhin... - die armen MS Leute... Greetz Lp Dieser Beitrag wurde am 06.02.2004 um 19:19 Uhr von Laserpointa editiert.
|
|
|
||
06.02.2004, 19:50
Ehrenmitglied
Beiträge: 2283 |
#7
Ich würde es schon Bug nennen, da laut RFC in einer HTTP Url keine username:password@ erlaubt ist.
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
07.02.2004, 17:47
Administrator
Beiträge: 1743 |
#8
für die die keine Lust haben umständlich an der Registry rumzubasteln:
Nutzer des Internet-Explorers können mit diesem Registry-Patch die Nutzung von Adressen in der Form "http://username:password@domain.com" wieder freischalten. Einfach die Datei hinter dem Link speichern und dann ausführen. http://www.protecus.de/hosting/undo_urlpatch.reg __________ Gruß Lukas |
|
|
||
07.02.2004, 20:21
Member
Beiträge: 337 |
#9
Hi Leute,
warum sich mit dem Krempel weiter 'rumärgern ? Der genannte Patch ist bei mir auch installiert worden. Ich muß dazu sagen, daß mein System vor der Installation dieses Patches zwar nicht mordsmäßig toll, aber doch immerhin funktionierte. Nach dem Patch war der Aufruf bestimmter Internet-Seiten (z.B. von Network Secure) nicht mehr möglich, weil sich das System dabei auf 100% Prozessorlast festfraß. Weiss der Geier warum. Das war für mich jedoch der Tropfen, der das Faß zum Überlaufen brachte. Seitdem verwende ich den IE nicht mehr für's Internet. Dem IE habe ich jetzt die Flügel soweit gestutzt, daß es nur noch auf die Microsoft-Server zugreifen darf, was für ein Windows-Update, sofern man es nicht manuell durchführen möchte, wohl unbedingt erforderlich ist. Für's Internet und für eMail benutze ich die neueste Mozilla-Version. Seit dem flutscht die Kiste wieder so, als wär sie nagelneu. Windows-Update funktioniert trotzdem noch .... also.... was will man mehr. Cascade Wieso bleiben meine Buchstaben nicht so da stehen wie ich sie mal geschrieben habe ? __________ Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..." Ich bin sehr optimistisch, was die Zukunft angeht ... Dieser Beitrag wurde am 08.02.2004 um 06:54 Uhr von Cascade editiert.
|
|
|
||
11.02.2004, 13:24
Member
Beiträge: 37 |
#10
Zitat joschi posteteHi, Joschi Ich lese hier so oft, daß man den IE möglichst nicht mehr nutzen soll (warum ?). Wenn ich Mozilla, Firebird oder Opera nutzen will, muß ich den IE dann deinstallieren ? Habe leider nicht viel Ahnung davon. Und wo bekomme ich einen anderen Browser her Danke für eine Antwort |
|
|
||
11.02.2004, 20:30
Moderator
Themenstarter Beiträge: 6466 |
#11
http://www.mozilla.org/products/
(Mozilla und Firebird [heißt jetzt Firefox]) http://www.opera.com Alles weiter zur Browserwahl-Diskussion: => http://board.protecus.de/t3673.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.04.2004, 10:42
Moderator
Themenstarter Beiträge: 6466 |
#12
Da bereits neue Probleme
Zitat <Amit dem URL-Spoofing aufgetaucht sind, zeigt Microsoft hier alternative Wege, wie man solche gespooften URL´s erkennen kann. Teilweise völlig ungeeignet für einen "einfach gestrickten" Anwender. Auch andere Browser sind teilweise davon betroffen. Näheres unter: http://www.heise.de/security/news/meldung/46200 __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
Subject: [MS/IE] Sammelpatch behebt mehrere kritische Probleme im Internet
Explorer
[MS/IE] Sammelpatch behebt mehrere kritische Probleme im Internet
Explorer
(2004-02-02 22:10:25.056625+01)
Quelle: http://www.microsoft.com/technet/security/bulletin/MS04-004.asp
Im MS Security Bulletin MS04-004 wird ein Sammelpatch für den Internet
Explorer 5.01, 5.5 sowie 6.0 beschrieben, der teils kritische
Schwachstellen behebt. Bitte beachten Sie, dass dieses Security-Update
relativ tief in die URL-Verarbeitung eingreift und möglicherweise
vorhandene Anwendungen beeinflusst (z.B. sogenannte @-Domains) (siehe
hierzu: [1]Q834489). Referenzen: [2]MS04-004 (deutsche Version),
[3]CAN-2003-1026, [4]CAN-2003-1027, [5]CAN-2003-1025
Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1178
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2004 RUS-CERT, Universität Stuttgart,
[7]http://CERT.Uni-Stuttgart.DE/
References
1. http://support.microsoft.com/default.aspx?scid=kb;en-us;834489
2. http://technet.microsoft.at/news_showpage.asp?newsid=12484&secid=1488
3. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1026
4. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1027
5. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1025
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1178
7. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen