Ankündigung

Einklappen
Keine Ankündigung bisher.

Open Source Gemeinde patcht Microsofts Internet Explorer

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Open Source Gemeinde patcht Microsofts Internet Explorer

    Hallo,

    meine Meinung werde ich nicht posten...
    lest einfach

    Die Open-Source- und Freeware-Entwicklungsseite Openwares.org stellt einen Patch zum Download zur Verfügung, der die URL-Spoofing-Lücke im Internet Explorer schließt.


    peinlich...

    Grüße
    DaGrrr
    Debian GNU/Linux SID, Kernel: 2.6.11-SMP

    LPIC-1 - Junior-Level Administrator Linux
    LPIC-2 - Intermediate Level Administration Linux
    MCSE, MCP, A+

  • #2
    Hast du das Update auch schon gelesen? Das ist peinlich!

    Update] Der Openware-Patch für den Internet Explorer baut größere Löcher ein, als er beseitigt. Ein Blick der heise-Security-Redaktion auf den Quell-Code ließ nichts Gutes erahnen: Ein Puffer zum Kopieren von URLs ist auf 256 Bytes begrenzt. Längere URLs provozieren einen Buffer Overflow, mit dem sich der Stack des Systems überschreiben lässt. Erste Tests bestätigten die Vermutung. URLs mit 500 Zeichen brachten den Internet Explorer zum Absturz, prinzipiell kann ein Angreifer damit aber auch eigenen Code in das System einschleusen und ausführen, um das System unter seine Kontrollen zu bringen. Ein Test zum Überprüfen der Sicherheitslücke steht auf den Seiten des c't-Browserchecks zu Verfügung:

    Cello
    "Wenn sie das haben wollen, müssen sie bezahlen. Wenn sie es nicht haben wollen, bekommen sie es umsonst" - Harald Naegeli (Sprayer von Zürich)

    Kommentar


    • #3
      Jo.

      Dennoch ist es so, das Microsoft nix unternimmt
      und andere versuchen die Lücke zu stopfen.

      Grüße
      DaGrrr
      Debian GNU/Linux SID, Kernel: 2.6.11-SMP

      LPIC-1 - Junior-Level Administrator Linux
      LPIC-2 - Intermediate Level Administration Linux
      MCSE, MCP, A+

      Kommentar


      • #4
        Statt einem Schnellschuss hätte die "Gemeinde" die einmalige Chance gehabt sich ein paar Freunde zu schaffen. Leider.....
        beste Grüsse
        Trainer

        "Es regnete nicht, als Noah die Arche baute!"

        Kommentar


        • #5
          nächster Versuch:


          Openwares überarbeitet Patch für Internet Explorer

          Openwares hat den kürzlich veröffentlichten Patch für die URL-Spoofing-Lücke im Internet Explorer zunächst vom Netz geommen und nun in einer überarbeiteten Fassung wieder zum Download bereitgestellt. Die erste Version des im offenen Quellcode vorliegenden Openwares-Patch baute wesentlich größere Löcher ein als er beseitigte, wie unter anderem Untersuchungen von heise Security ergaben. So ermöglichte es ein Buffer Overflow Angreifern, beliebigen Code einzuschleusen und auszuführen. Die Entwickler behaupten, sie hätten alle bekannten Sicherheitsprobleme des Patches beseitigt.

          Die Version 2.0 ist wie auch ihr Vorgänger als Browser-Erweiterung (Plugin) realisiert. Doch sonst weist der Code keine Ähnlichkeit mit dem Original mehr auf. Der offensichtliche Buffer-Overflow-Fehler wurde beseitigt, sodass der "gepatchte" Internet Explorer auch bei der Browsercheck-Demo jetzt nicht mehr abstürtzt. Außerdem haben die Entwickler die Umleitung auf ein CGI-Skript durch den Aufruf einer statischen HTML-Seite auf dem Openwares-Server ersetzt, die der Browser immer dann lädt, wenn eine URL mit den Zeichen '0x00' oder '0x01' aufgerufen wird. Darüber, ob die neue Version dafür nicht andere, nicht so offensichtliche Probleme enthält, kann unsere kurze Untersuchung allerdings keine Aussagen treffen. (pab/c't)
          beste Grüsse
          Trainer

          "Es regnete nicht, als Noah die Arche baute!"

          Kommentar

          Lädt...
          X