[reiner]

Heise.de Meldung vom 06.02.2004 11:27

Internet Explorer: Patch zum Patch
**********************************
Kaum hat Microsoft eine Korrektur der seit Monaten bekannten Mängel im Sicherheitsmodell des Internet Explorer zu Wege gebracht, muss das Unternehmen einen Critical Update zur Korrektur der Korrekturfolgen nachschieben.

Die Reparaturmaßnahme betrifft nicht den Browser selbst, sondern die Library MSXML 3.0, welche dem Internet Explorer und anderen Programmen zum Parsen von XML-Dateien dient.
Die Probleme, denen der Folgepatch zu Leibe rücken soll, äußern sich offenbar nur, wenn man zuvor den kumulativen Internet-Explorer-Patch eingespielt hat.

Dieser ist zwar für Benutzer des Microsoft-Browsers unverzichtbar, weil er schwer wiegende Risiken abwehrt, etwa das ungewollte Ausführen beliebigen Codes, wenn man eine Webadresse mit eingebettetem Benutzernamen aufsucht. Angesichts der einmal mehr zu Tage getretenen Folgeprobleme von Microsofts Programmnachbesserungen werden viele Anwender aber trotzdem einen bitteren Beigeschmack verspüren:
Der Hersteller weist nämlich von vornherein darauf hin, der MSXML-Update lasse sich nicht rückgängig machen. (hps/c't)

Quelle : http://www.heise.de/...r/meldung/44381

-------------------------------------------------------------------------------
Golem.de Meldung vom 06.02.2004, 13:10

IE-Patch: Was lange währt, wird doch nicht gut
**********************************************
Patch korrigiert aktuellen IE-Patch; URL-Aufruf mit Zugangsdaten bleibt gesperrt


Unglaublich, aber wahr: Der jüngst von Microsoft veröffentlichte Patch zur Beseitigung von gleich drei Sicherheitslecks im Internet Explorer weist einen Fehler auf, so dass erneut ein Patch eingespielt werden muss.
Der neue Patch ermöglicht jedoch das Einbinden von Nutzername und Kennwort in URLs nicht wieder, was der aktuelle IE-Patch ausgeschaltet hatte.

Der eigentliche, durch den Patch für den Internet Explorer verursachte Fehler steckt in dem vom Browser verwendeten Parser XML 3.0 von Microsoft, der bestimmte XML-Adressen nicht mehr korrekt auflöst. Erst nach Einspielen des neu veröffentlichten Patches werden die entsprechend formatierten XML-Adressen nun korrekt aufgerufen und nicht mehr mit einer Fehlermeldung quittiert. Der den Fehler verursachende Patch wurde Anfang Februar 2004 veröffentlicht und beseitigte unter anderem ein seit November 2003 und ein seit Dezember 2003 bekanntes Sicherheitsleck im Internet Explorer.

Auch nach Installation des Patches für Microsoft XML 3.0 bleibt das Einbinden von Nutzername und Kennwort in URLs weiterhin deaktiviert.
Mit dem am 3. Februar 2004 erschienenen Patch für den Internet Explorer wurde das Einbinden derartiger Informationen in URLs komplett abgeschaltet, was im Internet für einige Verärgerung gesorgt hat, da sich Webseiten mit entsprechenden Adresskonstruktionen nicht mehr ohne weiteres mit dem Internet Explorer aufrufen lassen.
Andere Browser-Hersteller unterstützen diesen URL-Aufruf weiterhin, ohne dass die entsprechenden Browser wie Firebird, Mozilla oder Opera mit den im Internet Explorer aufgetretenen Sicherheitsproblemen konfrontiert sind

Quelle : http://www.it-news.de/0402/29638.html

------------------------------------------------------------------------------
ORIGINAL VON MICROSOFT
**********************

Critical Update for Microsoft XML 3.0 Service Pack 4 - KB832414
Microsoft XML Parser

This update contains Microsoft XML (MSXML) functionality that will allow applications using MSXML to continue to function correctly after security update 832894, Security Update for Internet Explorer, has been applied.

Quick Info
----------
File Name : KB832414_MSXML3.0_x86.exe
Download Size : 598 KB
Date Published: 2/5/2004
Version:3.0

Overview
--------
This update contains Microsoft XML (MSXML) functionality that will allow applications using MSXML to continue to function correctly after security update 832894, Security Update for Internet Explorer, has been applied. After you install this item, you may have to restart your computer. Once you have installed this item, it cannot be removed.

Quelle : http://www.microsoft.com/downloads/details...&DisplayLang=en

Angehängte Miniaturbilder

• 

[reiner]

Vnu.net Meldung vom 06.02.2004

Patch für Microsoft Internet Explorer setzt Webseiten außer Gefecht
**************************************************
*****************

Viele Webseiten funktionieren nicht mehr, wenn sie mit dem gepatchten IE angesteuert werden.
Das beeindruckt Microsoft nicht.
Um Sicherheit zu gewährleisten, müssten Website-Betreiber eben andere Log-In-Funktionen nutzen.

Der allgemein grundsätzlich begrüßte Sicherheitspatch für den Internet Explorer zeigt sich, wenige Tage nach seiner Veröffentlichung, als Problem für manche Webseitenbetreiber.

Viele Webdesigner hatten eine Log-In Funktion für kundenspezifische Abfragen benutzt, die nun, nach dem Update, versperrt ist. Nun müssen nicht allzuwenige Websites umgeschrieben werden. Der Browser-Hersteller selbst zeigt sich von den Klagen unbeeindruckt.

Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, erklärte:
"Wir sehen das vom Standpunkt der Mehrheit unserer Kunden aus.
Sie haben mehr Sicherheit gefordert, und wir haben sie ihnen gegeben!" (mk)[B]

Dieser Beitrag wurde von reiner bearbeitet: 06. Februar 2004 - 15:12

[loretta garden]

? Hmm, aber neu ist das doch nicht ... aber was solls.
Wird schon Leser finden die das noch nicht wußten.
Selber benutze ich ja seit einem Jahr Phoenix und vorher Opera. Was jetzt nicht wieder
den pro / contra "Stein des Antoßes" vom Zaun treten sollte

Ist mir halt nur ein inneres Bedürfnis meiner Zufriedenheit mit selbigen Browser zum Ausdruck zu bringen
Aber man sollte sich wirklich überlegen ob nicht der Schritt weg vom IE (der nun wirklich nicht schlecht ist, halt nur zu viele Sicherheitslücken / zu wenig Komfort hat ) zu wagen.

Aber ... jedem nach seiner Fasson (oder wie schreibt sich das?)

In diesem Sinne ... frohes surfen