Wichtiger Sicherheitspatch für den IE verfügbar!

Wie heute Nachmittag schon angekündigt hat Microsoft nun den lang erwarteten Sicherheits Patch für den Internet Explorer veröffentlicht. Es werden einige teils sehr kritische Fehler beseitigt (mehr dazu weiter unten). mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Durch das Fixen dieses Bugs fällt allerdings auch eine recht nützliche Funktion weg: Mit dem einspielen dieses Patches ist es nicht mehr möglich Authentifizierungsinformationen direkt in der URL zu übergeben (also zB http(s)://username:password@server/ ).

args, echt tolle möglichkeit ne sicherheits lücke zu entfernen..
einfach das feature streichen...
stehe atm echt vor einem zwiespalt.
und @ domains funktionieren danach auch nicht mehr ^^

[re:1] am ++--

Antwort auf den Kommentar von Kr1x: Quatsch! Es ist nicht gestrichen, sondern nur standardmässig deaktiviert. Ein Registrykey kann das wieder ändern - http://support.microsoft.com/default.aspx?scid=kb:en-us:834489 - Immer selbst nachlesen, bevor man woanders aufgeschnappte halbwahre Gerüchte weiterverbreitet :)... Zudem: wenn ich Rika richtig verstanden habe (da bin ich mir aber selbst nicht sicher, daher sag ich das dazu :) ), gehen @-Domains weiterhin.

[re:2] am ++--

@Lofote: The Requested Web Page is Not Available

[re:3] am ++--

Antwort auf den Kommentar von TraXX: Hm, seltsam, da hats die URL zerhauen beim reinkopieren. Ihr findet den Link aber im "Microsoft Security Bulletin MS04-004" (oben im Posting anklicken) unter "Technical Details". Der Key ist HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE für alle Benutzer des aktuellen Rechner (oder HEY_CURRENT_USER wenn für den aktuellen Benutzer), dort müsst ihr 2 DWORDs erstellen, einmal "iexplore.exe", einmal "explorer.exe" und den DWORD-Wert beides Mal auf 0 stellen (müsste ja eh schon auf 0 nach dem Erstellen sein). Evtl. ist ein Neustarten des Browsers vonnöten - aber keine Ahnung, steht nicht explizit drin.

[o2] am ++--

Gilt das mit den Authentifizierungsinfos auch für das FTP-Protokoll oder nur für HTTP(S)?

[o3] am ++--

Aktualisiert werden:

browseui.dll,
mshtml.dll,
shdocvw.dll,
urlmon.dll,
wininet.dll

und einige reg-einträge =)

[o4] am ++--

da hat Kr1x leider recht. das übergeben von username+passwort auf diese art war eine nette sache aber das geht jetzt nicht mehr. ebenso hat er bei mir alle login daten gelöscht die mit http-auth (geschützte bereiche) zu tun hatten :(

[o5] am ++--

der IE6 is nu mehr als 3 jahre alt und immer noch nicht sicher... ich seh die pro mozilla scheiß IE diskussion schon wieder aufkommen :P

[o6] am ++--

Ich wollte eigentlich nie mit diesem IE Browser kontra Alternativ-Hick-Hack anfangen. Aber ein mal tue ich es doch! Ich liebe meinen O P E R A !! Jaaaa, jaaa !!!! Du bist der Beste!! (Haut mich jetzt bitte nicht)

[o7] am ++--

*hau*
*verprügel*
*in säure tunk*
^^

[o8] am ++--

es ist halt wie mit windows...es gibt nur dank der großen verbreitung so viele viren dafür....ich selbst habe schon so einiges bei netscape mozilla und co entdeckt was nicht ganz SICHER ist...aber das interessiert auch keinen....weil die verbreitung für solche ****** zu gering ist...

[o9] am ++--

wieder mal einer von vielen :-))

[10] am ++--

ich wolte mir gerade bei www.wiesbaden.de etwas runderladen. aber ich komme aber nicht mehr drauf, seit dem ich das neue patch installiert habe und in der Adresszeeile steht nachher > http://4XY.UNl5mzJGFgm-Z7hYDLh:74KoC9I6.0@www.wiesbaden.de/auth.sp?referer=/index.php <
gebe ich die die ursprüngliche Adresse in den RealPlayer ein geht es. Was kann ich machen, um dies wieder rüggängig zu machen ohne den Rechner neu zu Installiern?

[re:1] am ++--

Antwort auf den Kommentar von @lexander: Den Registrykey erstellen - hab ich oben unter Kommentar "[re:3]" beschrieben. Das sollte das Problem beheben. Solltest übrigens nicht hier Passwörter (auch wenn dieser temporär zu sein scheint) durch die Gegend schicken - in deinem eigenen Interesse :)...

[re:2] am ++--

Antwort auf den Kommentar von Lofote

dies ist kein Passwort von mir es kam in der Adressleiste sichbar nach dem ich die Ursprüngliche URL eigegeben haben. Dies nur zu Klarstellung.

[11] am ++--

Also, dass die Benutzername/Passwort Funktionalität wieder hergestellt werden kann, steht NICHT im Security-Bulletin. Ausserdem wäre dann die Frage, ob das Sicherheitsleck dadurch wieder vorhanden wäre.

Es ist schon sehr bedenklich, wenn es die MS-Programmieren nicht schaffen, dieses Problem ohne entfernen des Kompletten Features zu beheben. Seltsamerweise funktioniert das z.B. beim MyIE2 hervorragend, und der setzt ja auch auf dem MSIE auf.

Ausserdem brauchen Sie ja nur nach dem %1 String zu filtern.

Jedenfalls gehen nach diesem Patch diverse Webseiten nicht mehr richtig - SUPER Microsoft!!!

[re:1] am ++--

Antwort auf den Kommentar von icon71: Wieso sollen sie es nicht schaffen? Wenn du den Regkey drin hast, tun sie genau das, was du beschreibst - also schaffen sie es doch. Trotzdem, und das muss ich offensichlich hier immer wieder sagen: Das Problem ist immer noch der Mensch. Ich frage dich deshalb jetzt hier auch nochmal: Was glaubst du, wieviel Internetbenutzer wissen, dass wenn sie aufgefordert werden, auf http://www.amazon.de@www.blabla.de ihre Kreditkartendaten neu einzugeben, dass diese dann nicht bei www.amazon.de landen? Die meisten wissen dass nicht, die haben gelernt, ne URL fängt mit "http://www." meistens an, und das, was direkt dahintersteht, dort kommen sie hin. Es wird einfach nicht alles via Muttermilch eingesehen. __ Das die Geschichte nicht explizit drinsteht, fällt mir auch gerade auf, sie verweisen nur für Infos auf die Seite - ausser bei "This change to the default behavior..." - daran kann man erkennen, dass es sich wirklich nur um eine neue "default behaviour" handelt, und nicht komplett draussen ist. Ach ja: Dass im RFC 2616 der username:password@-Part nie definiert wurde, beachtest du wohl nicht wie... (Sonst meckern die Leute immer, wenn der IE nicht RFC-standardisierte Dinge hat und behällt - man kanns den Leuten nie recht machen).

[12] am ++--

Nur so als Info für die SP2 User. Kommt nicht auf die Idee das Update zu entpacken und dann zu installieren(entpackt kann man das nämlich installieren), denn dann schmiert die Kiste schon wegen einem ungültigen Call der Winlogon ab.

[13] am ++--

das gleiche ist mir auch passiert.... komisch........

[14] am ++--

also hat MS wieder mal nur verschlimmbessert*ätzend*
Verstehe das nicht es muss denen doch möglich sein endlich einmal eine Runde Arbeit abzuliefern.
Das ist echt nicht mehr prickenlnd :(

[15] am ++--

Betriebssystem: Windows xp SP1 mit IE6
Ich wolte eben, wie von Lofoto beschrieben vorgehen aber in meiner Rwistry komme ich nur bis zum Eintrag >>> HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

[16] am ++--

Betriebssystem: Windows xp SP1 mit IE6 Ich wollte eben, wie von Lofoto beschrieben vorgehen aber in meiner Registry komme ich nur bis zum Eintrag >>> HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

[17] am ++--

Da meine Nachricht auch beim zweiten mal nicht komplett ankam jetzt hier der Rest: (HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE ) was kann oder sollte ich jetzt machen ?

[18] am ++--

So sollte das fertig reg file aus sehen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE ]
@=""
"explorer.exe"=dword:00000000
"iexplore.exe"=dword:00000000

[19] am ++--

http://support.microsoft.com/default.aspx?kbid=834489

und da steht es erklärt !

[20] am ++--

heise: Das Installieren und Ausführen von Dateien mit einem Fehler in der showhelp()-Funktion ist aber immer noch möglich. :P

[21] am ++--

also wenn ich das hier mal zusammenfassen darf: 1. Der Patch führt bei dem entpacken und nachhaltigen installieren mit SP 2 zu abstürzen 2. Der Patch behebt eine der Sicherheistlücken nicht , sonder deaktiviert eine wichtige Funktion (Authentifizierungsinformationen direkt in der URL zu übergeben) 3. Die grösste Sicherheitslücke sit immer noch net gestopft ( nach heise.de) 4. Mache Webseiten funktionieren nicht mehr. Darf ich an MS fragen, ist Billy sich sicher das er auch Informatikler eingestellt hat??????? Oder ist das System IE so mit Windows verwebt, und dadaurch so komplex, das es recht schwer ist den IE zu Patchen?

[22] am ++--

jaja, die tollen "patches" und "fixes" von m$ sorgen doch immer wieder für erheiterung. Leute sehts einfach mal ein, der IE ist irgendwie echt verkorkst. Er ist einfach zu alt, hat zu viele Löcher, ist langsam, unkomfortable und unterstützt keine umlaut domains. aber leider leider denken ja 95% aller internetnutzer, dass es nur den einen browser gibt: den IE. tja, ein mensch ist klug. mehrere menschen sind dumm wie brot! Opera ownZ und für gilt immernoch: øwñªg£.i$.øµ®.wå¥.€?.lí?ë

[re:1] am ++--

Antwort auf den Kommentar von (Jayster) Nun ja der IE ist in die Jahre gekommen da geb ich dir recht und MS scheint es probleme zu machen den IE auf vordermann zu bringen, da er direkt mit dem Windows vernetzt ist (internexplorer und windowsexplorer ist das gleiche) und wenn man den IE Patchen will muss man auch das halbe Windows umschreiben welches auf den Windowsexplorer aufsetzt. ABER jeder benutzt den Bowser, mit dem er gut klarkommt, und mit demn er am besten arbeiten kann, und diejenigen die den IE benutzen sind deswegen nicht dumm wie brot. Immer diese komentare hier: "mein bowser ist viel besser als deiner..... baä baä" wie im kindergarten am sandkasten, jeder benutzt das was er will und mach kann über technische vorteile und nachteile diskutieren, die jeder browser aufweisst, denn hier kommt wieder die leidliche diskussion auf was ist besser mozilla opera oder IE, linux oder windows. Man kann darüber diskutieren aber sachlich und vernüftig, denn das droht hier wieder abzurutschen wie es so oft tut.

MFG Jack

[re:2] am ++--

Antwort auf den Kommentar von (Jayster): Jep und du bist klug. Denn du verwendest tolle hochintellektuelle Begriffe wie ownZ und tolle -Zeichen. Ich mein du hast da natürlich recht: 95% der Menschen weiss vielleicht nicht, dass es nur ein "o"-Zeichen oder "a"-Zeichen gibt, du weisst, es gibt auch noch øs und ås und andere "ganz arg dollllle" Zeichen... In der Zwischenzeit nehm deinen Opera, der username:passwort@ standardmässig(!) aktiviert hat, und heul nicht, wenn der IE dafür ein anderes RFC nicht komplett beachtet oder neue Sachen einführt, die ja "sooooo Anti-Standard und soooo typisch MS sind"...

[re:3] am ++--

mensch mensch. Mein beitrag war mit ein bisschen Ironie gemeint!!!! Nicht ganz so ernst gemeint. @jack: Es gibt einfach 2 Sorten von IE benutzern. Die 1. nutzen den IE nur weil sie es nicht besser wissen und denken das ist das einzige. Manche meinen mit Internet den IE weil der eben internet heißt. bei Opera und Mozilla denken sie an böse Trojaner, die ihr system zerfressen. Und dan gibt es aber die nutzer nr.2. Diese wissen ganz genau über die alternativen bescheid. haben diese vielleicht sogar schon getestet, sind aber zum IE zurückgekehrt. Diese nutzer halten sich den IE schon mit patches aktuell und upgraden ihn vielleicht noch mit einem Browseraufsatz um den IE komfortabler zu machen. Diese sorte nutzer kennen die macken aber auch die eventuellen vorteile des IE und verteidigen ihre nutzung des IE's mit guten argumenten. Diese nutzer habe ich nicht gemeint. Meine aussage ziehlte auf die ersteres Nutzer ab. Ach ja, und ich finde die diskussion um den Browser ist was ganz anderes als die diskussion windows oder linux. linux ist ein OS mit dem man immer arbeiten muss. den browser kann jeder installieren. und auch alle 3 gleichzeitig nutzen und ganz leicht wieder den deinstallieren, den er nicht mag! @ Lofote: Ich wollte mit meinen "coolen" zeichen hier nichts beweisen oder klar machen, dass ich hier der macker bin und tausend mal schlauer als ihr. und was diese funktion mit der authentifizierung angeht, ich habe diese noch nie benutzt. in diesem sinne schönen tag noch :)

[re:4] am ++--

Antwort auf den Kommentar von (Jayster): Ironie ist nur dann was schönes, wenn der andere sie erkennt. Hau doch einfach ein "" oder sonstwas dahinter, dann blickt man's auch :)...

[23] am ++--

http://support.microsoft.com/default.aspx?scid=kb:en-us:834489 -ist tot, komisch oder?

[24] am ++--

Ich habe es nicht installiert und werde es nicht installieren.
Ein zufriedener Mozilla-Nutzer, der es nicht versteht,
daß 98% immer noch diesen Schrott-IE nutzen und somit
Viren und Würmern Tür und Tor öffnen.

[re:1] am ++--

Antwort auf den Kommentar von news1704: Nicht unmutig, denn ein IE-Sicherheitsloch kann auch dann ausgenutzt werden, wenn es nicht der Standardbrowser ist - da dessen HTML-Engine viele Programme verwenden. Ich empfehle dir daher die Installation des Patches...