GiLeX liet ons weten dat Microsoft een patch heeft uitgebracht voor verschillende versies van Internet Explorer. Deze patch elimineert 6 nieuwe vulnerabilities in Internet Explorer 5.01, 5.5 en 6.0.
Software-update: Internet Explorer cumulative patch
| Besturingssystemen | Windows 9x, Windows NT, Windows 2000, Windows XP |
| Website | Microsoft |
| Download | http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp |
Reacties (24)
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
Let wel ff op, want het *schijnt* zo te zijn dat de patch niet goed werkt (sommige van de bugs worden niet gefixed en sommige delen van JavaScript werken niet meer).
o dacht al dat het aan mij lag, maar heb daar dus ook last van dat ik ineens runtime errors krijg in javascripts
:strip_icc():strip_exif()/u/14159/crop5e42aab08c7fb_cropped.jpeg?f=community){kind=small}
Ik heb deze patch op verschillende pc's staan maar ik heb nog geen errors gekregen in javascripts.
Kan natuurlijk ook aan de sites liggen die ik bezoek
Kortom geen problemen hier met deze patch
Kan natuurlijk ook aan de sites liggen die ik bezoek
Kortom geen problemen hier met deze patch
:strip_exif()/u/19605/nessie9kb.gif?f=community){kind=small}
En wat is je bron ? 
De NTBugTraq-mailinglists... er word namelijk het een of ander over gemailed over de niet-correcte werking.
Blij dat ik hem zelf iig nog niet geinstalleerd heb, ik wacht wel op de bugfix voor deze patches.
Blij dat ik hem zelf iig nog niet geinstalleerd heb, ik wacht wel op de bugfix voor deze patches.
Op de bugtraq van securityfocus omschreef iemand het als volgt:
---
"Outlook 98 and 2000 (after installing the Outlook Email Security Update), Outlook 2002, and Outlook Express 6 all open HTML mail in the Restricted Sites Zone. As a result, customers using these products would not be at risk from email-borne attacks. "
The above is merely misinformation on their parts. The Restricted Sites Zone tries to disable scripting ( a requisite for the dialogArguments vulnerability ), but many vulnerabilities allow you to circumvent this setting ( one such listed on /unpatched/ ). As such, you can still script in the Restricted Sites Zone, and as such "customers using these products" are still at risk from email-borne attacks.
Aside from these misunderstandings it could appear as though Microsoft is not actively keeping up with the security community and its publications. The dialogArguments issue was originally demonstrated with a ressource file only found in Internet Explorer 6- Shortly after being disclosed GreyMagic Software highlighted how another ressource file was also vulnerable, which existed from IE5 and onwards. Microsoft has fixed the vulnerability in IE6
_only_.
---
Deze lijst kun je (bijna) altijd wel geloven en de lijst stond behoorlijk vol met meldingen dat deze patch niet deed wat ie moest doen...
Microsoft heeft de melk horen klotsen, maar weet niet waar de tepel hangt...
Ik wacht ook nog even met het patchen totdat microsoft een nieuwe versie uit brengt met een releasedate van na 21 mei...
---
"Outlook 98 and 2000 (after installing the Outlook Email Security Update), Outlook 2002, and Outlook Express 6 all open HTML mail in the Restricted Sites Zone. As a result, customers using these products would not be at risk from email-borne attacks. "
The above is merely misinformation on their parts. The Restricted Sites Zone tries to disable scripting ( a requisite for the dialogArguments vulnerability ), but many vulnerabilities allow you to circumvent this setting ( one such listed on /unpatched/ ). As such, you can still script in the Restricted Sites Zone, and as such "customers using these products" are still at risk from email-borne attacks.
Aside from these misunderstandings it could appear as though Microsoft is not actively keeping up with the security community and its publications. The dialogArguments issue was originally demonstrated with a ressource file only found in Internet Explorer 6- Shortly after being disclosed GreyMagic Software highlighted how another ressource file was also vulnerable, which existed from IE5 and onwards. Microsoft has fixed the vulnerability in IE6
_only_.
---
Deze lijst kun je (bijna) altijd wel geloven en de lijst stond behoorlijk vol met meldingen dat deze patch niet deed wat ie moest doen...
Microsoft heeft de melk horen klotsen, maar weet niet waar de tepel hangt...
Ik wacht ook nog even met het patchen totdat microsoft een nieuwe versie uit brengt met een releasedate van na 21 mei...
komen deze nu wel of niet in windows update?
edit:
denk het nu wel, had namelijk rond de 17e een windows update gedaan en zat ook een IE 6.0 patch bij, zal deze dus wel zijn
geen delete button
denk het nu wel, had namelijk rond de 17e een windows update gedaan en zat ook een IE 6.0 patch bij, zal deze dus wel zijn
geen delete button
'k geloof niet dat de cumulative packages erbij zitten (misschien ook wel), maar het zou in beide gevallen weinig verschil uitmaken want de individuele critical updates komen daar toch te staan.
/u/13698/Balance_60.png?f=community){kind=small}
Nee, dit is NIET SP1, dit is een verzameling fixes voor 6 gevonden bugs. Is ook niet alleen voor IE6, maar ook voor 5.01 en 5.5.
:strip_exif()/u/2043/313546.gif?f=community){kind=small}
Hier staat beschreven wat er allemaal gefixt is trouwens..
In het 'kort':
This is a cumulative patch that, when applied, eliminates all previously addressed security vulnerabilities affecting Internet Explorer 5.01, 5.5 and 6.0. In addition to eliminating all previously discussed vulnerabilities versions, it also eliminates eliminates six new ones:
A vulnerability that could allow an attacker to cause script to be run in the Local Computer Zone.
A vulnerability that could disclose information store on the local system to an attacker including, potentially, personal information.
A vulnerability that could allow a web site to read the cookies of another web site by embedding script in cookies on the local system and invoking that script to read other cookies on the local system.
A vulnerability that could allow an attacker to cause a web page's security zone settings to be incorrectly determined and allow a page to run with fewer security restrictions than is appropriate.
Two newly discovered variants of the "Content-Disposition" vulnerability first discussed in MS01-051.
Finally, it introduces a new enhancement to the Restricted Sites zone. Specifically, it disables frames in the Restricted Sites zone.
En ook wel belangrijk:
Inclusion in future service packs:
The fixes for these issues will be included in IE 6.0 Service Pack 1.
The fixes for the issues affecting IE 5.01 Service Pack 2 will be included in Windows 2000 Service Pack 3.
In het 'kort':
This is a cumulative patch that, when applied, eliminates all previously addressed security vulnerabilities affecting Internet Explorer 5.01, 5.5 and 6.0. In addition to eliminating all previously discussed vulnerabilities versions, it also eliminates eliminates six new ones:
A vulnerability that could allow an attacker to cause script to be run in the Local Computer Zone.
A vulnerability that could disclose information store on the local system to an attacker including, potentially, personal information.
A vulnerability that could allow a web site to read the cookies of another web site by embedding script in cookies on the local system and invoking that script to read other cookies on the local system.
A vulnerability that could allow an attacker to cause a web page's security zone settings to be incorrectly determined and allow a page to run with fewer security restrictions than is appropriate.
Two newly discovered variants of the "Content-Disposition" vulnerability first discussed in MS01-051.
Finally, it introduces a new enhancement to the Restricted Sites zone. Specifically, it disables frames in the Restricted Sites zone.
En ook wel belangrijk:
Inclusion in future service packs:
The fixes for these issues will be included in IE 6.0 Service Pack 1.
The fixes for the issues affecting IE 5.01 Service Pack 2 will be included in Windows 2000 Service Pack 3.
Je kunt makkelijk nagaan welke patches je hebt geinstalleerd, gewoon even in de IE about box kijken. Staan alle Q nummers in. Bv. deze patch heeft Q-nr: Q321232 (zie link), ik heb dat getal, dus ook de patch is bij mij geinstalleerd.
:strip_icc():strip_exif()/u/2580/KOMPAKTicoon.jpg?f=community){kind=small}
Krijg de.... Deze heb ik 2 weken geleden al gepost! 
Ik kan na deze update opeens geen sms'jes versturen via hotSMS. Op 1 of andere manier lijkt het wel of deze patch sommige cookies niet doorlaat!!Nicos
Werkt die site misschien met Javascript? Want zoals hierboven al gemeld word javascript inderdaad verminkt door deze patch.
in xp staat hij er nog niet bij...
Hij's via de link te downloaden en ook via windows Update.
Ik kreeg de melding binnen via Technet en even later zag ik op een van de andere pc's thuis( o.a. XPpro en 2k adv.S) Windows Update ook al melding maken van de patch.
Ik kreeg de melding binnen via Technet en even later zag ik op een van de andere pc's thuis( o.a. XPpro en 2k adv.S) Windows Update ook al melding maken van de patch.
Deze patch staat al bijna een week op de microsoft site. Deze post is dus niet echt nieuws
Maar wel hier op t.net en daar gaat het om.Deze post is dus niet echt nieuws
/u/18061/crop63b7c168158fb.png?f=community){kind=small}
Deze jongen heeft ook weleens geen tijd om te meuken. (Pink Pop enzow)
:strip_icc():strip_exif()/u/16257/crop5daefe4cf3fb9_cropped.jpeg?f=community){kind=small}
Lekkere pagina. Als ik de eerste link open slaat gelijk mijn virusscanner op hol dat er een trojan zichzelf wil instaleren. Pas op dus!
het zal geen echte zijn... t is alleen een pagina die het aantoont en verder nix kwaads zal doen (denk ik 
)
)
Op dit item kan niet meer gereageerd worden.