Microsoft: Patch für Lücke in URI-Verarbeitung kommt

Sicherheit Nachdem es die letzten drei Monate fast vollkommen still um eine Sicherheitslücke im Internet Explorer 7 geworden war, kommt nun wieder Bewegung in die Sache. Sicherheitsexperten, Microsoft und Mozilla waren bisher uneins, wo die Ursache für die ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na das ist ja gut. Lange Zeit hat MS die Schuld auf andere geschoben und gesagt, dass es KEIN Fehler von MS/Windows sei. Nun endlich haben sie es begriffen und der Patch kommt hoffentlich noch diesen Monat.
 
@Runaway-Fan: ja ja, das übliche "MS ist doof"-Gedöns. Du weisst scho, dass die Probleme erst entstehen, wenn ein Programm ungeprüft Handler annimmt? MS versucht hier, ein Versäumnis diverser Programmhersteller auszubügeln. Trauruig ist, dass die es müssen. Fakt ist jedenfalls, dass die wohl kaum was dafür können.
 
@Kirill: Selten soviel Unsinn auf einmal gehört. 1.) Geht es hier nicht um das Programm, dass die URI ANNIMMT, sondern um das Programm, das sie an Windows übergibt 2.) Hat ein Update diesen Fehler herbeigeführt, dass von Microsoft kam, vorher gab es den Fehler in keiner einzigen Anwendung. Wieso sollten andere Hersteller bei jedem Windows-Update ihr Programm nach Lust und Laune von Microsoft umschreiben müssen? 3.) Ist es absolut üblich, dass die API die Argumente prüft und nicht das aufrufende Programm (siehe Mac OS, Linux, BSD und ALLES andere, da würde über sowas niemals eine Diskusstion entstehen). Hat Microsoft wirklich eine derartige Extrawurst nötig?
 
@Kirill: Du meinst ein Programm wie Outlook Express oder Outlook 2000? Hmm, von welchem dieser "diversen Hersteller" könnten diese Programme nur stammen...
 
@Kirill: Laut Heise soll MS mit Outlook ebenfalls die Lücke aufweisen (http://www.heise.de/newsticker/meldung/97133).
 
@Kirill: Es ist einfach lächerlich, dass sich MS hier lange Zeit als unschuldig hingestellt hat. Jede Software hat in der Regel eine Prüfung von Input zu unternehmen, den es nicht selbst erzeugt. Aus programmiertechnischer Sicht ist es aber lächerlich, dass jedes Programm hier eine Prüfung implementieren soll, wenn es doch anschließend an eine zentrale Stelle geht. Bei Beispiel für Dumme. Was würdest du lieber machen. Auf 20 Blätter den Satz "MS ist blöd" schreiben oder auf ein Blatt den einen Satz "MS ist blöd x 20". Genau darum gehts hier, hätte MS hier eine Prüfung in ihrem Code gehabt, so hätte keines der anderen Programme sowas implementieren müssen.
 
Tja, muß nun Windows prüfen, oder muß der Drittanbieter prüfen? Im zweifelsfall wäre es wohl für den Kunden am besten wenn einfach beide prüfen.
 
@DennisMoore: da Outlook und OE nicht von Drittanbietern kommen, dürfte es weniger aufwändig sein einfach Windows zu patchen
 
@DennisMoore: Da kann ich mich aber an noch ganz ander sprüche von dir erinnern.
 
Schade, dass Microsoft erst das Problem auch als solches anerkennt, wo dann auch eigene Anwendungen drauf hereinfallen. Mozilla, Skype und Adobe Reader haben wohl noch nicht gereicht.
 
@All: Die aufrufende Funktion kann aber gar nicht prüfen! Denn sie weiß ja gar nicht, um was für einen Handler es sich handelt. Ist es mailto, http, torrent, telnet und sonstwas. Er weiß also nicht, was mit dem String passieren wird. Er gibt es an Windows und Windows schaut nach, welches Programm dafür zuständig ist und leitet es weiter an das Programm. Wenn Windows schon selbst nicht prüft, dürfte es aber auch nicht "einfach so" selbst versuchen, was damit zu machen (z.B. eine Datei ausführen bei mailto bzw. http). Der String müsste so an die Anwendung, die für den Handler zuständig ist (http = browser, mailto = Mailclient, etc). Diese muss dann den Parameter prüfen. Doch in diesem Fall kam der Parameter ja gar nicht dort an sondern wurde von Windows selber "verarbeitet": und das nur mit dem IE 7 unter XP. Also ist für mich die Ursache für diese Lücke klar bei MS zu suchen.
 
@Runaway-Fan: Es ist in der Tat Aufgabe dessen, der den Aufruf verarbeitet, ihn zu plausibilisieren - sprich das Betriebssystem Windows. Schliesslich kann "jeder" den Handler aufrufen, auch jeder "Bösewicht".
 
@fan boys :Ist ja typisch trotz praktischen schuldeingeständniss wird wieder um den heißen brei herumgeredet und alles getan um M$ in einem ghuten licht stehen zu lassen.So etwas nenne ich realitätsverweigerung.MFG Geisterfahrer
 
@geisterfahrer: Du solltest erst mal schreiben lernen! :-P
 
@Kritikus:Wenn das dein einziges problem ist ^^
 
Adobe Programme sind von der Sicherheitslücke im Internet Explorer 7 mit der unsichern URI-Verarbeitung auch betroffen, so war neulich auf Heise zu lesen. Auch über Adobe Programme ist es möglich, über die unsichere URI-Verarbeitung im Internet Explorer 7 beliebigen Code, also auch schädlichen Code auszuführen!
 
@Fusselbär: Sogar MS Outlook Express und 2000 sollen von der Lücke betroffen sein (http://www.heise.de/newsticker/meldung/97133). Zudem noch Skype, Adobe Reader, Miranda, mIRC ... Aber es ist ganz sicher kein Fehler von MS!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen