OpenSource-Patch für den Internet Explorer gefixt

Der von der OpenSource-Firma Openwares kürzlich entwickelte Patch hatte einen Fehler enthalten, der via Puffer-Überlauf eine neue schwere Sicherheitslücke zuliess. Dieser ist jetzt beseitigt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

dort is der dl http://security.openwares.org/

[o2] am ++--

mal sehen was rika zu dem sagt

[o3] am ++--

Tja, wird nicht leicht sein eine Sicherheitslücke in einem Browser zu schließen dessen Quellcode man nicht sehen kann - ich denke die Sicherheitslücke kann dabei passieren.

[re:1] am ++--

Hast es wohl etwas falsch verstanden... Dieser Patch hier hatte in der alten Version eine _zusätzliche_ Sicherheitslücke reingebracht, und die wurde jtzt beseitigt. Und so wie die Code im Groben aussieht, würde ich sagen, dass man ihn jetzt auch installieren sollte. Leider ist der Patch so designt, dass er wirklich nur den IE schützt - nicht aber Drittprogramme, die den IE als Engine nutzen. Jetzt fehlen nur noch Patches für die anderen 78 Lücken ^_^

[re:2] am ++--

Einige werden wohl nie geschlossen werden.

[re:3] am ++--

Ach die über 50 XSS-Lücken, mit denen man beliebige .TXT-Dateien von der Platte lesen kann, sind Gewohnheitssache. Einfach nix wichtiges als .TXT abspeicher :-) Aber warum musstest wir bis Apirl diesen jahres warten, bis MS die 2 Jahre alte DSO-Lücke geschlossen hat? Und warum hat's dann bis Novermber gedauert, bis sie es geschafft haben? Und die ShellExecute-Lücke... seit zwei Jahren intern bekannt, seit April öffentlich bekannt, und MS meint, sie wollen sie gar nicht fixen... oder dass im Dezember keine Patches nötig wären - dabei stehen sogar noch einige Lücken vom August offen. IE = kannste vergessen!

[re:4] am ++--

nur schade das ich auf meinem pc nicht mozilla firebird gestartet bekomme, das normale mozilla läuft hingegen. komisch

[re:5] am ++--

mozilla firebird bekomme ich nicht gestartet, so ist es richtig

[o4] am ++--

Ich meinte das schon so - die haben ja sozusagen den Patch "Blind" für den IE geschrieben - da kann man ihnen (den Patchschreibern) so eine Sicherheistlücke (die in der alten Version) verzeihen

[o5] am ++--

Nicht das ich damit andeuten will das ich mit dem IE surfe :)

[o6] am ++--

@ Rika, ich kann mich nur wiederholen, mach bei Betatests bei Microsoft mit z.b. Beta 1 vom SP1 für Windows XP, welches auch eine upgedatete Version des IE beinhalten wird und dann kannst du deine ganzen Beschwerden, Vorschläge und Bugs Microsoft schicken. Wenn du schon beim Betatest bist, dann bin ich ruhig, wenn du dich nicht angemeldet hast, bist du selbst schuld und darfst nicht meckern, nur durch solch ein Feedback werden die Programme von MS wirklich verbessert! MfG CYA iNsuRRecTiON

[re:1] am ++--

Microsoft wollte eigentlich schon bei WinXP auf die oft gewünschtesten Sachen eingehen. Und was kam? Nein, immer noch per Default aller möglicher Mist eingeschaltetm per default spy Win wie blöde, Beenden ist immer noch unter Start zu finden, und eine Deinstallationsoption für Windows gibt's immer noch nicht. Das mit dem IE versuche ich gar nicht mehr - hast du mal gehört, wie extrem arrogant sich die Microsoft-Leute über die ShellExecute-Lücke geäußert haben? Im April wird die Lücke öffentlich bekannt. Im Mai vermeldet SecurityFocus, dass sie die Lücke schon seit Dezember kennen und mit Microsoft darüber disput gehalten haben. Im Juli bringt Microsoft ein Bulletin raus, behauptet, dass die Lücke nur in Win2K vorhanden wäre und im SP4 gefixt sei. Im August meldet SecurityFocus, dass es der Fix aus dem SP4 nicht bringt. Im September dann meint Microsoft nur lapidar, ihnen wäre die Lücke schon seit 2 Jahren bekannt. Mal 'nen Fix für diese absolut sicherheitskritische, leicht ausnutzbare (sogar mit dem IE und Active Scripting) und seit langem öffenltich bekannte Lücken rausbringen? Nein... Bulletin ändern? Nein... Infos rausbringen, wie man sich dagegen schützen kann? Nein... Und dann schreiben sie den Fix nur für Win2K3 und hauen in in's Beta-SP1 ab Build 1039... Und wieso soll ich bitte schön _Geld_ für den Beta-Tests eines Produktes rausbringen, bei dem Microsoft ganz gewiss auch nicht auf die Probleme reagiert?

[re:2] am ++--

Antwort auf den Kommentar von iNsuRRecTiON Ich frag mich wo du entsprungen bist... :-)

[o7] am ++--

Also die Fehler die Rika anspricht, sind schon längst bei MS bekannt, nur scheinst niemanden zu interessieren.

[re:1] am ++--

Nein, ich rede ja nur von den bereits öffentlich bekannten Lücken... wieviel nichtveröffentlichte Lücken Microsoft noch kennt, vermag ich nicht mal abzuschätzen...

[o8] am ++--

Iss ja geil, muss man mal bedenken, jetzt schreibt die Open Source - Gemeinde einen Patch für den IE ! Muss man sich mal auf der Zunge zergehen lassen.. Wenn's M$ nicht rafft für diese Sicherheitslücke nen patch zu schreiben...
Hier sieht man mal wieder, die Open Sourcegemeinte könnte jede menge, nur daß M$ einen dermaßen ankotzt wegen ihrem hochwohlgeborenem, daß sich immer mehr Programmierer abwenden...
Weiter so Leutz, nur nich sparsam, aber setzt eure energie im richtigen System ein *lol* da mein ich aber jetzt nicht das vom M§-Giganten.
Wie währs mal mit ner gescheiten oberfläche für isdn4linux ?
liebe Grüße
Blacky