Inoffizieller Patch schließt aktuelle Lücke in Windows

Windows Wie wir berichteten, existiert eine schwerwiegende Lücke in allen Windows-Varianten, die auf einem Fehler in den Dateien für animiert dargestellte Maus-Cursor basiert. Microsoft selbst hatte die Lücke bestätigt und untersucht das Problem derzeit. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie schnell das doch von usern geht, in gegensatz zu MS :)
 
@Guderian :

machs es einfach besser kleiner !
 
Boar, "Arbitrary code execution under the context of the logged in user". Also wie immer, surfen als Admin ist das Problem. Deshalb ist Vista im IE Protected Mode auch nicht anfällig (so einfach). Ich dachte ja erst, man bräuchte nur die Dateiendung .ANI löschen. Geht vermutlich auch.
 
@Kritikus: IE7 im protected mode is eben doch anfällig, siehe heise.de
 
Umweg über eine Shell. Das muss man erst mal hinkriegen. Außerdem kommt doch dann die UAC zum tragen, man muss das also absegnen, oder nicht?
 
@Kritikus: ausserdem wer leißte bei kilcki bunti windows die admin freigabe ? da klickt man schnell zweimal ausführen und weite .....
also wenn dann eine anständige debian und das problem ist gegessen.....
 
Das hier zeigt mir mal wieder, wie überlegen das OpenSource-Entwicklungsmodell ist: Tritt eine Sicherheitslücke auf, kann _jeder_ der fähig ist diese zu schließen einen entsprechenden Patch schreiben - man ist nicht zwangsläufig auf den Hersteller der Software angewiesen. So integrieren oft Distributoren ihre eigenen Patches, oder einen Patch der von irgend jemandem (zum Beispiel dem Entdecker der Lücke) veröffentlicht wurde, einfach um die Lücke schnell zu schließen. Bei einigen Distributionen kann sowas innerhalb von STUNDEN geschehen. Oft wird dann dieser erste "inoffizielle" Hotfix nachträglich von den Softwarenentwicklern selbt integriert (evtl. auch etwas modifizert) und es gibt einige Tage eine neue Minor-Version der Software, die man dann einspielen kann.

Bei einem geschlossenen Entwicklungsmodell dagegen muss man immer auf den Hersteller warten, inoffizielle Patches von Drittanbietern können riskant sein.
 
"Das hier zeigt mir mal wieder, wie überlegen das OpenSource-Entwicklungsmodell ist" führt zu gar nichts. Es geht hier um Windows. Dass ewig welche dann mit OpenSource ankommen müssen ...
 
@Kritikus: Mir ging es hier nicht um Windows, mir ging es um das Entwicklungsmodell, das dahinter steckt. Ich bin der Meinung, dass in solchen und ähnlichen Fällen das Windows zugrundeliegende Entwicklungsmodell daran (mit) Schuld ist, das oft so lang auf eine Lösung gewartet werden muss.
 
@el3ktro: die testen auch die patches mit sicherheit etwas intensiver als die anderen. übrigens kann das open source dazu ausgenutzt werden sicherheitslücken zu finden. Es hat alles seine vor und nachteile.
 
@el3ktro: Das Opensource gequatsche kannste stecken lassen , eEye Digital Security bezeichnet den Fix extra als "schnell und unsauber" (Quick and dirty blanket fix for ANI zero-day vulnerabilities.) und hiermit könntest du dir möglicherweise funktionale Probleme einhandeln . Der erste bei dem dann was nichtmehr geht macht in der Regel MS hier verantwortlich obwohl der Softwareeingriff aus deiner heissgeliebten Opensource Ecke kam.
 
@MS168: Wie darf ich das Verstehen das "der Softwareangriff aus der OpenSource-Ecke kam"?? Es ist klar das dieser Patch von eEye nicht wirklich "sauber" sein kann, weil sie natürlich die Interna von Windows nicht kennen. *Wenn* aber Windows OpenSource *wäre*, wäre man nicht darauf angewiesen das MS einen Patch erstellt, sondern jeder mit genügend Know-How könnte eine Patch erstellen, der dann auch "sauber" funktioniert, weil ja der Quellcode offenliegt.Ich will doch hier gar nicht gegen Windows oder eEye losgehen, ich sage nur, das meiner Meinung nach diese Problematik mit den Patches bei OpenSource-Software besser gelöst werden kann. @DevSibwarra: Ja, in OpenSource-Software können Sicherheitslücken u.U. schneller gefunden werden, sie können aber auch viel schneller gefixt werden. Ich möchte wirklich mal erleben das ein kritischer Bug in Windows innerhalb von *Stunden* gefixt wird - das ist bei so einem Entwicklungsmodell leider kaum möglich.
 
ich warte lieber auf die offizi.......
 
@ayteee: Genau. Warten wir lieber auf die offizi..... Mist - mein Cursor spinnt ....Rechner will sich abschalten.
 
ich ebenfalls
 
Ich bin natürlich kein Freund von längeren Wartezeiten bei Sicherheitsupdates aber mit den Abhängigkeiten könnte MS vl recht haben. Ich hab echt keine Lust mich mit Komplikationen wegen eines Sicherheitsupdates für Windows, das nicht von MS ist, herumzuquälen, da gibts genug andere Gründe :) Lg iLoki
 
Nach Angaben von eEye haben die Entwickler von Microsoft bei der Erstellung des bereits zwei Jahre alten Updates einfach eine weitere Instanz des fehlerhaften Codes nicht berücksichtigt ...

Ich kann mich damit nicht anfreunden. "einfach" nicht berücksichtigt. Sicherheitsdienstleister sollten nicht solche Äußerungen von sich geben und selbst dann mit einem Patch auftrumpfen. Sollte ja dann vor 2 Jahren auch einfach mal so möglich gewesen sein, so einen Patch zu basteln ...

Abgesehn davon... Will gar nicht wissen, welche hochbezahlten Admins jetzt das Ding auf die Clients loslassen :D Aber das is jetzt was anderes ....
 
Bei 2 Jahre Prüfung könnte eEye Digital Security aber einen sauberen Fix rausbringen und den nicht als "schnell und unsauber" (Quick and dirty blanket fix for ANI zero-day vulnerabilities.) deklarieren.
 
Microsoft sollte wieder die Updatepacks von Winfuture gestatten dann passiert sowas nicht :-).
 
@Thuka: Soweit ich weiss sind die Updatepacks nur eine Sammlung der Patchs die sowieso über die Windowsupdate Funktion auf den Rechner kommen. Nur halt gesammelt mit einer Installationsroutine.
 
@Thuka: Die Patches kommen doch von MS selber, WinFuture hat das nur als Paket gebündelt, also ein schlichtweg uninformierter Beitrag von dir.
 
Lieber währe mir ein Patch der es generell verbietet fremde Mauscursor in Webseiten zu verwenden, sowas brauch ich nämlich nicht.

Gibt es noch nichts genaueres über die Betroffenheit von Firefox? (siehe Heise) da steht was von unter Umständen. Welche aber nicht. vieleicht kann man da ja mit der Config Abhilfe schaffen.
 
LooL - Zitat vom quellcode des fixes:

Quick and dirty blanket fix for ANI zero-day vulnerabilities.
Prevents loading cursors from outside the Windows directory.

 
@Blackspeed: Alle die in den Medien hören das ihr System möglicherweise gefährdet ist , und mit diesem Patch wieder ihre Sicherheit zurückerhalten. Und das sind sicher viele.
Maslowsche Bedürfnisspyramide.
 
hm.. soll man sich den fix jetzt installiren oder nicht ?!
ich meien
okay der ist wohl unsauber aber vielleicht leiber unsauber als garkein patch....
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter