Gå til innhold

Kritisk oppdatering klar

abene

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
pcp160

pcp160

Skrevet
Skrevet

Syns det er hyggelig å se at Internet Explorer for en gangs skyld viser seg bedre enn erkefienden Firefox.

 

Jeg ville i alle fall byttet ut tredjeparts-fiksen med MS sin steffenz. Men det sier jeg bare ut fra generell synsing fordi jeg ser for meg at man ikke vet hvordan kompatibiliteten på den tredjeparts-fiksen er, og spesielt ikke sammen med MS sin patch.

Mulig jeg tar feil, siden jeg ikke har satt meg godt nok inn i verken hva MS eller eEeye fiksen faktisk gjør, men det hadde jeg gjort i alle fall :)

Lenke til kommentar
kommers

kommers

Skrevet
Skrevet
bruk opera :)

jeg sier ikke den er bedre for det vet jeg ikke. men jeg synes funksjonene er mer sammensydd..

8307471[/snapback]

Man bør kanskje bruke Opera fordi det er en god nettleser, men det hjelper nok ikke mot dette sikkerhetshullet i MS Windows. Det handler nemlig i grunnen ikke om noen nettlesersårbarhet, men snarere MS Windows' utrygge håndtering av animerte musepekere (enkelte .ani-filer kan utnytte denne sårbarheten). Dermed blir det litt feil etter min mening å skrive at Firefox og IE (evt. andre) er sårbare, når det er OSet som er sårbart. Nettleseren er bare en mulig kilde til .ani-filer som potensielt utnytter sårbarheten.

 

(Microsoft omtaler Windows-sårbarheten)

Lenke til kommentar
pcp160

pcp160

Skrevet
Skrevet

Det kan du jo godt si Kommers, det er vel også det som er problemstillingen ved de fleste sikkerhetshull. Problemene er i prinsippet OS (Windows) men nettleser er en svært populær måte å nå inn til alle disse svakhetene. Og særlig da IE6 har jo vært særdeles utsatt.

 

Jeg mener likevel at her er man better of med IE7 (og Vista) enn feks Firefox, akkurat som HW.no hevder. I alle fall er det slik jeg forstår rapporten fra MS:

Windows Animated Cursor Remote Code Execution Vulnerability - CVE-2007-0038:

 

A remote code execution vulnerability exists in the way that Windows handles cursor, animated cursor, and icon formats. An attacker could try to exploit the vulnerability by constructing a malicious cursor or icon file that could potentially allow remote code execution if a user visited a malicious Web site or viewed a specially crafted e-mail message. An attacker who successfully exploited this vulnerability could take complete control of an affected system.

 

Mitigating Factors for Windows Animated Cursor Remote Code Execution Vulnerability - CVE-2007-0038:

 

• Customers who are using Windows Internet Explorer 7 on Windows Vista are protected from currently known web based attacks due to Internet Explorer Protected Mode. For more information on Internet Explorer Protected Mode see the following Windows Web site.

 

• By default, Microsoft Office Outlook 2007 uses Microsoft Word to display e-mail messages which protects customers from the HTML e-mail preview and attack vector.

 

Resten er her http://www.microsoft.com/technet/security/...n/ms07-017.mspx

Lenke til kommentar
kjetil_kilhavn

kjetil_kilhavn

Skrevet
Skrevet
Det kan du jo godt si Kommers, det er vel også det som er problemstillingen ved de fleste sikkerhetshull. Problemene er i prinsippet OS (Windows) men nettleser er en svært populær måte å nå inn til alle disse svakhetene. Og særlig da IE6 har jo vært særdeles utsatt.

 

Jeg mener likevel at her er man better of med IE7 (og Vista) enn feks Firefox, akkurat som HW.no hevder. I alle fall er det slik jeg forstår rapporten fra MS:

Windows Animated Cursor Remote Code Execution Vulnerability - CVE-2007-0038: ....

 

Resten er her http://www.microsoft.com/technet/security/...n/ms07-017.mspx

8309785[/snapback]

 

Er det bare meg som synes det er ganske utrolig at Firefox hevdes å være utsatt for en sårbarhet når det er operativsystemet bak som er problemet? Det er greit nok at nettleseren avslører problemet, men heng bjella på rett katt. Det er i Microsoft Windows sårbarheten er.

Lenke til kommentar
pcp160

pcp160

Skrevet
Skrevet
kjetil_kilhavn Postet i dag, 07:16

Er det bare meg som synes det er ganske utrolig at Firefox hevdes å være utsatt for en sårbarhet når det er operativsystemet bak som er problemet? Det er greit nok at nettleseren avslører problemet, men heng bjella på rett katt. Det er i Microsoft Windows sårbarheten er.

Jepp, det er nok bare deg! :p

 

Men ja, du har helt rett i at selve problemet er Windows selv. Så man kan godt si at det blir feil å si at Firefox er "utsatt for en sårbarhet", akkurat på samme måte som det stort sett like feilaktig blir hevdet at IE6 er utsatt for sårbarheter.

IE6 får sjelden selv problemer av all dritten den slipper inn, men du og Windows bak får masse trøbbel.

 

Det samme er det altså her, du (som brukeren av Windows) er mer utsatt med Firefox, og det er like mye, eller like lite, nettleserens feil som det pleier å være. Syns ikke det er noe mer riktig formulering at Firefox "avslører" problemet. Den slipper det gjennom, og tillater problemer å oppstå. Altså det eneste som avgjør om man i realiteten har et problem, eller ikke, er hvorvidt man bruker FF eller IE

 

Vel, dette blir jo da mest flisespikking om formulerninger, og jeg er sikker på at de fleste her faktisk er ening med deg.

Jeg må jo også ta forbehold om at opplysningene faktisk stemmer, siden det fremkommer så helt forskjellig informasjon fra MS og andre kilder, kan det jo godt tenkes at man ikke er noe tryggere med IE7 likevel.

 

Jeg syns bare det er litt morsomt at når det nå går i IE's favør ser man plutselig bort fra nettleserens rolle i å blottlegge hull og feil i Windows. :)

Lenke til kommentar
kommers

kommers

Skrevet
Skrevet
Jeg syns bare det er litt morsomt at når det nå går i IE's favør ser man plutselig bort fra nettleserens rolle i å blottlegge hull og feil i Windows.  :)

Etter min mening er det ikke dette det handler om. Det er jo ikke kode i IE6, IE7, FFX eller noen annen nettleser som trenger å fikses -- det er kode i en rekke av ulike versjoner av MS Windows.

 

Når det gjelder andre sårbarheter som ofte tillegges nettlesere (du nevner IE6 som et typisk eksempel), så er da vel dette sårbarheter som skyldes dårlig/feilaktig kode i selve nettleseren. Da er det jo riktig å skylde på nettleseren. Etter min mening bør det da ikke være noe problem å klare å trekke en strek mellom sårbarheter i operativsystemet og sårbarheter i en nettleser.

 

For mitt vedkommende har dette ingenting med prestisje for IE vs alternative nettlesere å gjøre. Jeg mener bare at man bør etterstrebe et visst nivå av teknisk presisjon, i hvert fall her på hw.no, slik at man tar seg råd til å forklare at sårbarheten gjelder MS Windows, men den kan bl.a. utløses gjennom de fleste nettlesere som støtter interaktiv bruk av animerte musepekere fra websiden man besøker. Og dersom det er tilfelle at IE7 er mindre utsatt (at man unngår tvungen omstart) pga nettleseren som standard kjører med reduserte privilegier i forhold til andre nettlesere, så er det jo flott at de informerer om det og.

Lenke til kommentar
kommers

kommers

Skrevet
Skrevet

Et poeng som såvidt nevnes i oppfølgerartikkelen til hw.no (som ikke byr på kommentar-muligheter) som du finner her er at feilfiksen fra Microsoft som liksom skulle reparere sikkerhetshullet i Windows' håndteringa av .ani-filer liksom kan utløse nye problemer for enkelte progammer, f.eks. lyd og nettverk.

 

Feilrettelse for tidligere oppdatering

I tillegg har Microsoft sluppet en rettelse for hasteoppdateringen som ble sluppet i forrige uke. Det gjelder en oppdateringen som fikser sårbarheten i måten Windows håndterer animerte musepekere - les mer.

 

En del brukere opplever nemlig at det oppstår en konflikt mellom hasteoppdateringen fra Microsoft og et lydprogram fra Realtek (Realtek HD Audio Control Panel).

 

Dette er jo litt merkelig kanskje at MS prøver å smyge inn "hemmelige" patcher for andre ting sammen med .ani-patchen uten å si ifra til kundene sine. For det er jo det de må ha gjort -- det er vel ingen logisk forklaring på at håndteringen av animerte musepekere henger sammen med f.eks lyd og/eller nettverk?

 

Men de rammede brukerne er kanskje glade for å få tettet .ani-sårbarheten sin...

Lenke til kommentar
HKS

HKS

Skrevet
Skrevet
Dette er jo litt merkelig kanskje at MS prøver å smyge inn "hemmelige" patcher for andre ting sammen med .ani-patchen uten å si ifra til kundene sine. For det er jo det de må ha gjort -- det er vel ingen logisk forklaring på at  håndteringen av animerte musepekere henger sammen med f.eks lyd og/eller nettverk?

8364136[/snapback]

Du har tydligvis ikke helt peiling på hvor komplisert et OS kan være med systemkall, avhengigheter osv.

 

Nei, det er ingen grunn til å begynne å konspirere om at Microsoft har smuglet inn noen "hemmelige patcher"

Lenke til kommentar
kjetil_kilhavn

kjetil_kilhavn

Skrevet
Skrevet
Dette er jo litt merkelig kanskje at MS prøver å smyge inn "hemmelige" patcher for andre ting sammen med .ani-patchen uten å si ifra til kundene sine. For det er jo det de må ha gjort -- det er vel ingen logisk forklaring på at  håndteringen av animerte musepekere henger sammen med f.eks lyd og/eller nettverk?

8364136[/snapback]

Du har tydligvis ikke helt peiling på hvor komplisert et OS kan være med systemkall, avhengigheter osv.

 

Nei, det er ingen grunn til å begynne å konspirere om at Microsoft har smuglet inn noen "hemmelige patcher"

8364288[/snapback]

Nei, kanskje han ikke har det - det aner ikke jeg noe om. Imidlertid er jeg nokså sikker på at du vet lite om god arkitektur i programvare...

Ja, det finnes nok felles systemkall. Men at en feilretting for animerte muspekere fører til problemer for lyd og nettverk tyder på enten dårlig arkitektur eller elendige testrutiner. For ikke å gjøre dem urett kan det også tyde på begge deler. :yes:

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...