mboost-dp1
Microsoft
tsk tsk... ja ja ... hold din pc opdateret... :D som om de har en fix til denne her bug.
Microsoft's udmelding kan man som sådan ikke bruge til noget.
de fortæller da hvordan man kan blive ramt af den. så lidt får man da ud af det. men der er INGEN workaround.
/flame
Microsoft skal lige først have nok fejl til at samle dem alle i en "bulletin" så alle fejlene kun figurærer som en fejl i sammenligning mellem linux og windows. :)
/flame off
Microsoft's udmelding kan man som sådan ikke bruge til noget.
de fortæller da hvordan man kan blive ramt af den. så lidt får man da ud af det. men der er INGEN workaround.
/flame
Microsoft skal lige først have nok fejl til at samle dem alle i en "bulletin" så alle fejlene kun figurærer som en fejl i sammenligning mellem linux og windows. :)
/flame off
Rimeligt dygtig advisory: "keep windows updated"
Ja det skal da nok hjælpe NÅR DER IKKE ER EN PATCH TIL HULLET.
Fandme utroligt.
Ja det skal da nok hjælpe NÅR DER IKKE ER EN PATCH TIL HULLET.
Fandme utroligt.
#4
Ganske udmærket flame.. Desværre ikke helt underbygget :)
Jeg citerer;
"We continue to encourage customers to follow our Protect Your PC guidance of enabling a firewall, applying software updates and installing antivirus software. Customers can learn more about these steps at the Protect Your PC Web site."
Hva andet vil du ha' de skal gøre? Når de ikke har en fix, er en firewall, antivirus osv vel det bedste forsvar.
Ganske udmærket flame.. Desværre ikke helt underbygget :)
Jeg citerer;
"We continue to encourage customers to follow our Protect Your PC guidance of enabling a firewall, applying software updates and installing antivirus software. Customers can learn more about these steps at the Protect Your PC Web site."
Hva andet vil du ha' de skal gøre? Når de ikke har en fix, er en firewall, antivirus osv vel det bedste forsvar.
#7: Det er overhovedet ikke det det drejer sig om - men ja vi er sikkert mange der håber de er hurtigere end de 130 dage de gennemsnitligt er om at rette kritiske sikkerhedsfejl.
Det drejer sig om at der i et advisory skal stå hvordan man midlertidigt kan sikre sig mod fejlen indtil en patch kommer, og der skriver de altså "keep windows updated" og ja det er da en meget god ide, men det er bare fuldstændig irrelevant, og der er /ingen/ sikring mod den fejl, hvis man altså stadig kører IE.
Det drejer sig om at der i et advisory skal stå hvordan man midlertidigt kan sikre sig mod fejlen indtil en patch kommer, og der skriver de altså "keep windows updated" og ja det er da en meget god ide, men det er bare fuldstændig irrelevant, og der er /ingen/ sikring mod den fejl, hvis man altså stadig kører IE.
/cry min nyhed blev skrevet om... så ellers på mit rss at den var kommet igennem. http://img453.imageshack.us/img453/5426/pernicious...
så må jeg håbe på den næste dur ;)
P.S det hedder Internet Explorer
så må jeg håbe på den næste dur ;)
P.S det hedder Internet Explorer
#9: Ja, som jeg skriver er det da en god ide at holde windows opdateret, men eftersom der ikke er en patch til nævnte hul er det i denne sammenhæng irrelevant, især når advisories i udgangspunktet kun læses af IT folk, tvivler på min mor gider sidde og læse det. Så i kontekst er det bare en provokation.
#11: Tror ikke du skal regne med at gå fri :)
#11: Tror ikke du skal regne med at gå fri :)
Der er så mange firmaer der kigger efter sikkerhedshuller som fx. Danske Secunia Research.
Så det gælder jo om at være først med hullerne så man kan blive kendt og tjene flere penge..
Det er der jo ikke noget nyt i.
Men hvis de en dag finder et system hvor der ikke er sikkerhedshuller i så sig lige til.. :)
Så det gælder jo om at være først med hullerne så man kan blive kendt og tjene flere penge..
Det er der jo ikke noget nyt i.
Men hvis de en dag finder et system hvor der ikke er sikkerhedshuller i så sig lige til.. :)
Off-topic: Nu er det preview 2 af IE 7 beta 2 - den endelige Beta 2 er stadig ikke ude.
On-topic: Hvor står der at Preview 2 ikke er påvirket?
On-topic: Hvor står der at Preview 2 ikke er påvirket?
#18
http://www.microsoft.com/technet/security/advisory...
Note Customers who use the Microsoft Internet Explorer 7 Beta 2 Preview that was released on March 20, 2006 are not affected by the public reported vulnerability.
http://www.microsoft.com/technet/security/advisory...
Note Customers who use the Microsoft Internet Explorer 7 Beta 2 Preview that was released on March 20, 2006 are not affected by the public reported vulnerability.
Appropos advisory - så har secunia forresten skrevet hvad man kan gøre:
"Deaktivér understøttelse af Active Scripting.
NOTE: Producenten arbejder på et patch."
Problemet er så at så bliver IE næsten ubrugelig sådan som jeg husker det (er jo ikke første gang active scripting burde have været deaktiveret nogle måneder/år pga. sådan en bug).
Derudover er det for os som kunder smartest at firmaer som secunia frigiver den her slags information, om ikke for andet så fordi MS statistisk patcher sikkerhedshuller hvor informationen er frigivet betydeligt hurtigere end hvor de ikke gør.
"Deaktivér understøttelse af Active Scripting.
NOTE: Producenten arbejder på et patch."
Problemet er så at så bliver IE næsten ubrugelig sådan som jeg husker det (er jo ikke første gang active scripting burde have været deaktiveret nogle måneder/år pga. sådan en bug).
Derudover er det for os som kunder smartest at firmaer som secunia frigiver den her slags information, om ikke for andet så fordi MS statistisk patcher sikkerhedshuller hvor informationen er frigivet betydeligt hurtigere end hvor de ikke gør.
#22: Og den er så blevet tilføjet sidenhen. Den var der sjovt nok ikke da jeg checkede. Som du også vil se hvis du kigger på siden er den blevet opdateret d. 24. Hvis jeg husker ret så er Washington 9 timer efter os, dvs. det kan være indtil kl 9 imorges CET at det er tilføjet.
@ 23 det viser da i det mindste at de ikke står stille hen, men at de faktisk arbejder på en løsning ;)
#11 ifølge MS selv rammer den "Internet Explorer 6 for Microsoft Windows XP Service Pack 2" altså den du kalder IE sp2 så det er simpelhen FORKERT at du ikke er sårbar.
secunia skriver selv
[qoute]"Sårbarheden er bekræftet på et fuldt opdateret system med Internet Explorer 6.0 og Microsoft Windows XP SP2. Sårbarheden er derudover bekræftet i Internet Explorer 7 Beta 2 Preview (January edition). Andre versioner kan også være berørte."[/qoute]
#11, #20 IE på et fulgt opdateret winXP idetifisere sig med "opdateringsversioner:;SP2;" så helt grebet ud af den blå luft er det ikke men det er referre til at den kom med XP-sp2 ikke at det er IE sp2 til xp-sp2
secunia skriver selv
[qoute]"Sårbarheden er bekræftet på et fuldt opdateret system med Internet Explorer 6.0 og Microsoft Windows XP SP2. Sårbarheden er derudover bekræftet i Internet Explorer 7 Beta 2 Preview (January edition). Andre versioner kan også være berørte."[/qoute]
#11, #20 IE på et fulgt opdateret winXP idetifisere sig med "opdateringsversioner:;SP2;" så helt grebet ud af den blå luft er det ikke men det er referre til at den kom med XP-sp2 ikke at det er IE sp2 til xp-sp2
Gaaab...I februar var der op til flere bugs som gav adgang til at køre kode på ens maskine i firefox...
Så hvis vi laver en nyhed om det hverdag og en debat.. Gabb. så bliver jo newz.dk til bare nyheder om sikkerheds fejl i browser.
Så hvis vi laver en nyhed om det hverdag og en debat.. Gabb. så bliver jo newz.dk til bare nyheder om sikkerheds fejl i browser.
#24: Det kan vel også kun forvente. Bare lidt trist de ikke skrev det med det samme. Men godt de fik det tilføjet.
#26: Det er ikke sandt, det blev lavet en patch til en række huller som samlet set blev vurderet til kritisk. Dette er vurderet til ekstremt kritisk.
Secunia udsendte advisoriet d. 02.02.06, den danske udgave af patchen kom den 02.02.06. Når det så er sagt, så mener jeg da også newz nævnte at 1.5.0.1 udkom, så patchen blev da nævnt, samt at den rettede nogle sikkerhedsfejl.
#26: Det er ikke sandt, det blev lavet en patch til en række huller som samlet set blev vurderet til kritisk. Dette er vurderet til ekstremt kritisk.
Secunia udsendte advisoriet d. 02.02.06, den danske udgave af patchen kom den 02.02.06. Når det så er sagt, så mener jeg da også newz nævnte at 1.5.0.1 udkom, så patchen blev da nævnt, samt at den rettede nogle sikkerhedsfejl.
#29
Hullet .. ? Det var flere huller i Firefox..
Hehe. Godt spørgsmål jo. Nej faktisk ikke. Syntes det er fedt at der er flere muligheder end bare Microsoft. Så det hilser jeg bare altid velkommen.
Men igen det kommer jo an på indholdet og produktet..
Og siger bare at der i debatten bliver glemt lidt at Firefox også har mange huller. :) For det har det.. og vil altid have..
Men jeg ved jo godt der er mode herinde i at hade Microsoft..
Men fortæl mig en dag hvor FF er 100% sikkert.. Så bruger jeg det.. :)
ingen har vist benægtet hullet.
(lider du egentligt ikke af xenofobi over for alt andet end Microsoft produkter?)
Hullet .. ? Det var flere huller i Firefox..
Hehe. Godt spørgsmål jo. Nej faktisk ikke. Syntes det er fedt at der er flere muligheder end bare Microsoft. Så det hilser jeg bare altid velkommen.
Men igen det kommer jo an på indholdet og produktet..
Og siger bare at der i debatten bliver glemt lidt at Firefox også har mange huller. :) For det har det.. og vil altid have..
Men jeg ved jo godt der er mode herinde i at hade Microsoft..
Men fortæl mig en dag hvor FF er 100% sikkert.. Så bruger jeg det.. :)
#28: Nu har jeg tilladt mig ikke at sætte mig 100% ind i de forsk. sikkerhedshuller og vælger at henholde mig til at den samlede mængde sikkerhedsfejl i FF var vurderet til kritisk, mens den ene sikkerhedsfejl i IE er vurderet til ekstremt kritisk.
Sandsynligvis fordi du med standard indstillinger ikke engang får en advarsel i IE men koden bare bliver kørt, men som sagt har ikke kigget dybere i det.
Min pointe var nu også at Secunia udsendte advisoriet for 3 dage siden - sandsynligvis har den været kendt i 1 mdr. (mindst 1 uge anyway, er lidt med forskel) inden, og alligevel har MS ikke en patch til et ekstremt kritisk hul.
Selvfølgelig er sikkerhedshuller i FF lige så relevante - men de er nu, din påstand til trods, færrere og mindre kritiske end IE hullerne (indtil videre anyway).
Sandsynligvis fordi du med standard indstillinger ikke engang får en advarsel i IE men koden bare bliver kørt, men som sagt har ikke kigget dybere i det.
Min pointe var nu også at Secunia udsendte advisoriet for 3 dage siden - sandsynligvis har den været kendt i 1 mdr. (mindst 1 uge anyway, er lidt med forskel) inden, og alligevel har MS ikke en patch til et ekstremt kritisk hul.
Selvfølgelig er sikkerhedshuller i FF lige så relevante - men de er nu, din påstand til trods, færrere og mindre kritiske end IE hullerne (indtil videre anyway).
Folk fat nu at der ikke kommer en rettelse på en sikkerhedsfejl så hurtigt! Det er jo umuligt at gennemteste rettelsen på samtlige systemer af windows!!
Do the math! MS skal hvergang de retter noget kører en procedure igennem flere gange for at være sikre på at fejlen som er rettet ikke ødelægger mere end den gavner!
De skal jo teste samtlige windows versioner igennem med forskellige opsætninger osv.
De kan jo ikke bare rette i koden og så sende den ud på windows update og tro at det virker!
Do the math! MS skal hvergang de retter noget kører en procedure igennem flere gange for at være sikre på at fejlen som er rettet ikke ødelægger mere end den gavner!
De skal jo teste samtlige windows versioner igennem med forskellige opsætninger osv.
De kan jo ikke bare rette i koden og så sende den ud på windows update og tro at det virker!
#36: Det er lidt en overdrivelse, men ja de siger da offentligt at de både tester på 2k, xp og 2k3.
Men hvad så med FF, som kører på Mac, linux og windows....
Har endnu ikke hørt om FF updates som er trukket tilbage, men har man da hørt om med MS (givet, der er forskel på at opdatere en browser og så systemkomponenter).
I princippet kunne updaten jo også nøjes med at ændre default internet settings til at spørge om man vil køre activescripting, og fortælle hvorfor det er farligt at ændre hvis man gør det.
Men hvad så med FF, som kører på Mac, linux og windows....
Har endnu ikke hørt om FF updates som er trukket tilbage, men har man da hørt om med MS (givet, der er forskel på at opdatere en browser og så systemkomponenter).
I princippet kunne updaten jo også nøjes med at ændre default internet settings til at spørge om man vil køre activescripting, og fortælle hvorfor det er farligt at ændre hvis man gør det.
#39 firefox er lukket inde i sit helt ejet framework altså med en form for virtuel skal omkring programmet hvilket betyder at næsten al koden ingen direkte kontakt har med det underliggende OS, man har nogle få klasser der udgør et par % af koden der oversætter ml firefox og OS.
IE derimod er rent asambler med 100% af koden i direkte kontakt med OS'ets udokumenterede features, i det hele taget et eksempel på hvordan man ikke gør.
Til IE's forsvar skal det siges at gamle netscape var ligeså slem, mozilla teamet valgte netop at omskrive netscape mere eller mindre totalt således det blev til mozilla frameworket og gecko(browser komonenten).
For at opdatere IE skal man ind 100steder bla i office koden og alt mugligt underligt da det hele er en stor sammenfiltret masse mens FF er meget mere morderne opbygget med klare skel mellem komponenterne.
Forvent iøvrigt at IE7 vil værre meget anderledes hvad det angår end IE6, der er så håbløst forældet at det er pinligt.
Prisen for FF's "skal" og nemme opdaterings procedure er ram-forbruget, noget man først for nyligt har kunnet tilade sig.
IE derimod er rent asambler med 100% af koden i direkte kontakt med OS'ets udokumenterede features, i det hele taget et eksempel på hvordan man ikke gør.
Til IE's forsvar skal det siges at gamle netscape var ligeså slem, mozilla teamet valgte netop at omskrive netscape mere eller mindre totalt således det blev til mozilla frameworket og gecko(browser komonenten).
For at opdatere IE skal man ind 100steder bla i office koden og alt mugligt underligt da det hele er en stor sammenfiltret masse mens FF er meget mere morderne opbygget med klare skel mellem komponenterne.
Forvent iøvrigt at IE7 vil værre meget anderledes hvad det angår end IE6, der er så håbløst forældet at det er pinligt.
Prisen for FF's "skal" og nemme opdaterings procedure er ram-forbruget, noget man først for nyligt har kunnet tilade sig.
#40: Ej mener du virkelig at windows kode er bloated og håbløst gammeldags?
Mht. ram forbrug så var Mozilla Suite beta'en da ellers ok selv på en win98 box med 64mb ram.
Nuvel du har nok ret - men det er altså trods alt stadig "kun" win2k og winxp og win2k3 server de skal kigge på.
Problemet er vel snarere at MSHTML komponentet og IE er koblet så meget sammen og de dermed lige pludselig skal til at checke alle mulige og umulige spøjse elemener i deres support funktioner, og hvordan indvirker det lige på word html eksport og hvad har vi (hvis vi endelig er der). Når det så er sagt, så har de vel en testsuite der kan køre det meste automatisk. Det burde de have, og den testsuite burde ikke tage mere end en time. Og jeg tillader mig at formode de har et compile cluster og sikkerhedspatches til ekstremt kritiske opdateringer får høj prioritet i en evt. compile kø.
Mht. ram forbrug så var Mozilla Suite beta'en da ellers ok selv på en win98 box med 64mb ram.
Nuvel du har nok ret - men det er altså trods alt stadig "kun" win2k og winxp og win2k3 server de skal kigge på.
Problemet er vel snarere at MSHTML komponentet og IE er koblet så meget sammen og de dermed lige pludselig skal til at checke alle mulige og umulige spøjse elemener i deres support funktioner, og hvordan indvirker det lige på word html eksport og hvad har vi (hvis vi endelig er der). Når det så er sagt, så har de vel en testsuite der kan køre det meste automatisk. Det burde de have, og den testsuite burde ikke tage mere end en time. Og jeg tillader mig at formode de har et compile cluster og sikkerhedspatches til ekstremt kritiske opdateringer får høj prioritet i en evt. compile kø.
#41 nej jeg taler ikke om windows 5.x kernerne men om aplikationslaget der ofte er .Net's diamentrale modsætning, firefox bruger et slags .Net lignende runtime internt for at opnå platforms uafhængigheden.
Og jo IE og Office er gammelt, der er formeteligt asamblerkode fra forige årtusing og et hav af win98 specifikke subrutiner der kan have underlige sidevirkninger, fordi det var man simpelthen nødt til dengang .Net(en gammel Xerox Parc ide iøvrigt) simpelt hen kostede for mange resourcer til at værre komersielt interesant på MS's kernemarked, tingene ændre sig men IE har ligget helt død i et par år snart, de burde lave samme hop som netscape gjorde efter mozilla projetet omskrev koden og kalde den neste for version8
Windows kernen er vel i sig selv ligeså moderne som unix-kerne, de er begge baseret på ideer ca samtidigt, windows er svjv en efterkommer af VMS-
Hvad er der iøvrigt med MS og og falerede DEC, produkter Både dos(CP/M) og NT(VMS) floppede totalt hos DEC, mens MS formåede at få dem omdannet til guld.
Og jo IE og Office er gammelt, der er formeteligt asamblerkode fra forige årtusing og et hav af win98 specifikke subrutiner der kan have underlige sidevirkninger, fordi det var man simpelthen nødt til dengang .Net(en gammel Xerox Parc ide iøvrigt) simpelt hen kostede for mange resourcer til at værre komersielt interesant på MS's kernemarked, tingene ændre sig men IE har ligget helt død i et par år snart, de burde lave samme hop som netscape gjorde efter mozilla projetet omskrev koden og kalde den neste for version8
Windows kernen er vel i sig selv ligeså moderne som unix-kerne, de er begge baseret på ideer ca samtidigt, windows er svjv en efterkommer af VMS-
Hvad er der iøvrigt med MS og og falerede DEC, produkter Både dos(CP/M) og NT(VMS) floppede totalt hos DEC, mens MS formåede at få dem omdannet til guld.
Uofficielle patches:
http://www.determina.com/security_center/security_...
http://eeye.com/html/research/alerts/AL20060324.ht...
Du altid få en fuldt opdateret browser her:
http://www.ie7.com
http://www.determina.com/security_center/security_...
http://eeye.com/html/research/alerts/AL20060324.ht...
Du altid få en fuldt opdateret browser her:
http://www.ie7.com
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund