[schifti]

http://golem.de/0603/44097.html

Zitat:

Zitat von golem.de

Angreifer können beliebigen Programmcode ausführen

Kurz nach Microsofts monatlichem Patch-Day wurde nun ein schweres Sicherheitsloch im Internet Explorer gefunden. Angreifer können über eine manipulierte Webseite beliebigen Programmcode auf fremde Systeme schleusen und diese so unter Umständen komplett übernehmen. Bislang ist kein Patch zur Abhilfe veröffentlicht worden.

[xardias]

Jaja, da soll MS nochmal behaupten der Internet Explorer sei ja nicht mehr unsicher ;D

[karahead]

Allein das Wort "monatlicher Patch-Day" macht mich schon stutzig

Naja wer den IE benutzt ist selber schuld.

[Ben]

Zitat:

Zitat von karahead

Naja wer den IE benutzt ist selber schuld.

Amen.

[Quivadis]

[Buhmann]

öhm ... wenn ich mir den quelltext der beispielseite anschauen will, stürzt Firefox ab
Könnte auch am Tidy-Html-Validator liegen, aber stutzig macht mich das schon...

das "view rendered source chart" plugin packts dagegen ohne probleme ...

[sparrow]

Und hier ein Zitat aus der Diskussion auf der Seite:

Zitat:

Ebenfalls in IE7, XP SP2 vorhanden
Datum: 18.03.06 - 12:42
Autor: Horgeig
Habe die Beispielseite gerade mit der Beta vom IE7 ausprobiert und bin ebenfalls abgestürzt.

Na dann kommt Vista doch nicht vor 2010

Am geilsten finde ich die Kommentare:

Zitat:

> ie6 schrieb:
> --------------------------------------------------
> -----
> > Wenn ich mit dem ie6 auf die
> beispielseite
> browsere passiert nichts bzw.
> stürtz nichts ab!!
> Ich sehe einfach das bild
> mit der boxer-frau und
> kann danach weiter
> surfen????
>
> Laut dem Bericht ist die Sicherheitslücke bisher
> auch nur für WinXP SP2 bestätigt. Was hast du für
> ein System?
>
>
>

Bei mir läuft WinXP SP1 ohne irgendwelche sicherheitspatches!

[schifti]

http://www.heise.de/newsticker/meldung/71111
Genaueres....
Ich denk mal, das es die gleiche Lücke ist.

[schifti]

Noch mehr Lücken.....

http://www.heise.de/newsticker/meldung/71232
http://golem.de/0603/44245.html

[Jann Hendrik]

MS kommt noch immer nicht mit dem Stopfen der Lücke hinterher....

Nun aber veröffentlicht ein anderes Unternehmen eine ÜBergangslösung.
Mehr dazu unter:
http://www.golem.de/0603/44304.html

[Ben]

Ohne eine pro/contra-Diskussion auslösen zu wollen frage ich mich aber ernsthaft, ob die da nur Praktikanten oder so in der Entwicklungsabteilung sitzen haben oder warum die nicht in der Lage sind einfach mal was Vernünftiges zur Verfügung zu stellen.

Okay, über einen befriedigenden Browser braucht man ja gar nicht sprechen .. aber wenn man nicht mal in der Lage ist danach Patches schnell zur Verfügung zu stellen (obwohl es möglich ist, was eEye ja beweist) .. also .. hm .. kann doch eigentlich nicht sein.

[Jann Hendrik]

Die Lösung von eEye ist nach eigenen Angaben (so der Artikel) aber auch nur eine Behelfslösung...

[Ben]

Klar, aber nichtsdestotrotz schicken sie etwas heraus. "ActionScripting" ausschalten. Was ein toller Tipp. Leute, die wissen, was das ist nutzen das Ding doch gar nicht. Demnach .. fürn Arsch, wenn ich das mal so salopp sagen darf.

Ist ja eigentlich keine Diskussionsgrundlage, weil wir da höchstwahrscheinlich eh die gleiche Meinung haben .. jedenfalls im Bezug auf die Nutzergruppe des Internet Explorers.

[Ben]

http://golem.de/0603/44360.html

Zitat:

Der für den 11. April 2006 geplante Sicherheits-Patch für den Internet Explorer wird nicht nur mehrere Sicherheitslücken schließen, sondern auch Änderungen an ActiveX vornehmen, wie Microsoft erklärte. Allerdings wird es ein Kompatibilitäts-Update geben, um die ActiveX-Modifikation wieder rückgängig zu machen, womit vor allem Unternehmen eine Übergangsphase bis Juni 2006 gewährt wird.

Nur Rumgefrickel ..

[robo47]

Zitat:

Zitat von Ben

http://golem.de/0603/44360.html

Zitat:

Nur Rumgefrickel ..

wozu sie ja gezwungen sind, weil MS plugins (wozu ActiveX gehört) nicht mehr so einbinden darf wie sie es die ganzen Zeit tun.

[Ben]

Versteh ich nicht bzw. mir fehlt das Hintergrundwissen. Bitte um kurze Erklärung.

[robo47]

-> http://www.golem.de/0512/42005.html

ganz kurz:
Die Firma Eolas hat ein Patent auf die Art wie Plugins eingebunden werden, MS will nicht zahlen und muss somit die Art wie das Plugin iengebunden wird ändern, der User muss nun zukünftig wohl bevor er ActiveX ausführt immer zur bestätigung klicken

mfg
robo47

[Ben]

Danke.