Archief - De topics van lang geleden

ALERT! Nieuwe cumulatieve patch voor Internet Explorer

04-10-2003, 10:43 door Anoniem, 15 reacties
Hieronder de e-mail die ik vandaag (4 oktober 2003) heb ontvangen. Microsoft heeft een aantal lekken gedicht en vraagt om deze patch zo snel mogelijk te installeren via WindowsUpdate.
Maxium risk is CRITICAL.

==============================================

-----BEGIN PGP SIGNED MESSAGE-----

- ----------------------------------------------------------------------
Title: Cumulative Patch for Internet Explorer (828750)
Date: October 3, 2003
Software: Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 for Windows Server 2003
Impact: Run code of attacker's choice
Max Risk: Critical
Bulletin: MS03-040

Microsoft encourages customers to review the Security Bulletins at:
http://www.microsoft.com/technet/security/bulletin/MS03-040.asp
http://www.microsoft.com/security/security_bulletins/MS03-040.asp
- ----------------------------------------------------------------------

Issue:
======
This is a cumulative patch that includes the functionality of all
previously released patches for Internet Explorer 5.01, 5.5 and 6.0.
In addition, it eliminates the following newly discovered
vulnerabilities:

A vulnerability that occurs because Internet Explorer does not
properly determine an object type returned from a Web server in a
popup window. It could be possible for an attacker who exploited this
vulnerability to run arbitrary code on a user's system. If a user
visited an attacker's Web site, it would be possible for the attacker
to exploit this vulnerability without any other user action. An
attacker could also craft an HTML-based e-mail that would attempt to
exploit this vulnerability.

A vulnerability that occurs because Internet Explorer does not
properly determine an object type returned from a Web server during
XML data binding. It could be possible for an attacker who exploited
this vulnerability to run arbitrary code on a user's system. If a
user visited an attacker's Web site, it would be possible for the
attacker to exploit this vulnerability without any other user action.
An attacker could also craft an HTML-based e-mail that would attempt
to exploit this vulnerability.

A change has been made to the method by which Internet Explorer
handles Dynamic HTML (DHTML) Behaviors in the Internet Explorer
Restricted Zone. It could be possible for an attacker exploiting a
separate vulnerability (such as one of the two vulnerabilities
discussed above) to cause Internet Explorer to run script code in the
security context of the Internet Zone. In addition, an attacker could
use Windows Media Player's (WMP) ability to open URL's to construct
an attack. An attacker could also craft an HTML-based e-mail that
could attempt to exploit this behavior.

To exploit these flaws, the attacker would have to create a specially
formed HTML-based e-mail and send it to the user. Alternatively an
attacker would have to host a malicious Web site that contained a Web
page designed to exploit these vulnerabilities. The attacker would
then have to persuade a user to visit that site.

As with the previous Internet Explorer cumulative patches released
with bulletins MS03-004, MS03-015, MS03-020, and MS03-032, this
cumulative patch will cause window.showHelp( ) to cease to function
if you have not applied the HTML Help update. If you have installed
the updated HTML Help control from Knowledge Base article 811630, you
will still be able to use HTML Help functionality after applying this
patch.

In addition to applying this security patch it is recommended that
users also install the Windows Media Player update referenced in
Knowledge Base Article 828026. This update is available from Windows
Update as well as the Microsoft Download Center for all supported
versions of Windows Media Player. While not a security patch, this
update contains a change to the behavior of Windows Media Player's
ability to launch URL's to help protect against DHTML behavior based
attacks. Specifically, it restricts Windows Media Player's ability
to launch URL's in the local computer zone from other zones.

Mitigating Factors:
====================
- -By default, Internet Explorer on Windows Server 2003 runs in
Enhanced
Security Configuration. This default configuration of Internet
Explorer
blocks automatic exploitation of this attack. If Internet Explorer
Enhanced Security Configuration has been disabled, the protections
put in place that prevent this vulnerability from being automatically
exploited would be removed.

- -In the Web-based attack scenario, the attacker would have to host a
Web site that contained a Web page used to exploit this
vulnerability. An attacker would have no way to force a user to
visit a malicious Web Site. Instead, the attacker would need to lure
them there, typically by getting them to click a link that would take
them to the attacker's site.

- -Exploiting the vulnerability would allow the attacker only the same
privileges as the user. Users whose accounts are configured to have
few privileges on the system would be at less risk than ones who
operate with administrative privileges.

Risk Rating:
============
-Critical

Patch Availability:
===================
- A patch is available to fix this vulnerability. Please read the
Security Bulletins at
http://www.microsoft.com/technet/security/bulletin/MS03-040.asp
http://www.microsoft.com/security/security_bulletins/MS03-040.asp
for information on obtaining this patch.


- ---------------------------------------------------------------------

THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS
ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE
FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION
OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO
THE FOREGOING LIMITATION MAY NOT APPLY.


-----BEGIN PGP SIGNATURE-----
Version: PGP 7.1

iQEVAwUBP34rCY0ZSRQxA/UrAQFmqAgAlS+ZctG+OT7Rd49WfGdz2ISdMNZ1E1ay
IpWYrj5leBrc5KTLf7fadhy9209A96gppJbV6lIWqP1gvQWrWaW8XZzyhvsX7FH+
922nYeQLUsPp3R+wA2jZP6OvcfTFOUqa4nDM9oisO7qMEc2SuDdQWont2IzeAf6h
3P6VjblfQ72pxPAYuFSRN0xKZGzqcSKqWYwy+APgjp3a+J1tO17ur+1jhz6BgI9w
CZcAOxluayX6IxOixaWFBZUmiITGFImYFY1Ql+LQSdTCVv11R+IKrhAsRwfyfA9r
7AqjjZfWrB/ScpPdrobt3W9eFSxgHCjMen7SIB5SuTldsWwpu7IBHg==
=vhUD
-----END PGP SIGNATURE-----


*******************************************************************

You have received this e-mail bulletin because of your subscription to the Microsoft Product Security Notification Service. For more information on this service, please visit http://www.microsoft.com/technet/security/notify.asp.

To verify the digital signature on this bulletin, please download our PGP key at http://www.microsoft.com/technet/security/notify.asp.

To unsubscribe from the Microsoft Security Notification Service, please visit the Microsoft Profile Center at http://register.microsoft.com/regsys/pic.asp

If you do not wish to use Microsoft Passport, you can unsubscribe from the Microsoft Security Notification Service via email as described below:
Reply to this message with the word UNSUBSCRIBE in the Subject line.

For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security.
Reacties (15)
04-10-2003, 11:37 door Anoniem
404 File Not Found
04-10-2003, 14:07 door Anoniem
Niet de schuld van de melder. Moet je bij Microsoft zijn...
04-10-2003, 14:28 door Anoniem
Hij staat helemaal niet bij de MS Windows Update, of vergis ik mij?
04-10-2003, 14:41 door Anoniem
Originally posted by Unregistered
Niet de schuld van de melder. Moet je bij Microsoft zijn...
Heb je mij dat zien beweren dan? *LOL*
04-10-2003, 15:37 door Anoniem
Heel irritant dat er niet bijstaat dat Win98 helemaal niet effected is door deze flaw. Toch? Ik heb wel IE 5.01, maar er is voor mij helemaal geen update beschikbaar, of wordt Win98 niet meer ondersteund ofzo? Want ook bij Windows Update zie ik niks staan.
05-10-2003, 08:32 door Anoniem
Ik heb zelf Windows 98SE, maar volgens de WindowsUpdate pagina van Microsoft was er wel degelijk een update beschikbaar. Dus gewoon via Start, WindowsUpdate inloggen en de update ophalen.
05-10-2003, 15:11 door Anoniem
Ook de Waarschuwingsdienst heeft een e-mail doen uitgaan over het gecombineerde lek in Internet Explorer. Zie tekst hieronder.
Het betreft IE 5.01, 5.5 en 6.0 onder alle besturingssystemen van Windows. Dus ook Windows 98.
======================================


#########################################
## Waarschuwingsdienst - ALERT ##
#########################################


Nieuwe update voor Internet Explorer dicht een aantal lekken

Programma : Internet Explorer
Versie : 5.01, 5.5 en 6.0
Besturingssysteem: Alle versies van Windows

Samenvatting
Microsoft heeft een nieuwe software-update uitgebracht voor
Internet Explorer versies 5.01, 5.5 en 6.0. Deze software-update
wordt uitgebracht omdat een eerdere update niet goed werkte. Het
is belangrijk om deze patch zo snel mogelijk te installeren, want
er wordt op dit moment actief misbruik gemaakt van de
kwetsbaarheden die ermee worden opgelost.

Gevolgen
De kwetsbaarheden deze met deze software update opgelost worden
kunnen op verschillende manieren kunnen worden misbruikt om
bepaalde programmacode op uw computer uit te laten voeren.
Hierdoor zou bijvoorbeeld Outlook of Outlook Express kunnen
crashen, maar zou een kwaadwillende ook bestanden kunnen
verwijderen of vertrouwelijke informatie van uw computer
achterhalen.

Hyperlinks
Zie voor het volledige advies:
http://www.waarschuwingsdienst.nl/render.html?it=554

-------------------------------------------------------------------
Disclaimer
De Waarschuwingsdienst betracht grote zorgvuldigheid bij het samen-
stellen en onderhouden van de informatie. De Waarschuwingsdienst is
echter niet verantwoordelijk voor de volledigheid, juistheid en ac-
tualiteit van de informatie en aanvaardt geen aansprakelijkheid voor
eventuele directe of indirecte schade als gevolg van de activiteiten
die door een gebruiker worden ondernomen op basis van de informatie,
adviezen en waarschuwingen die door middel van deze e-mail worden
verstrekt.
De Waarschuwingsdienst staat niet in voor de juiste en complete ver-
zending van de informatie door de Waarschuwingsdienst en is niet
aansprakelijk voor een vertraagde ontvangst hiervan.
De verzonden informatie is uitsluitend bestemd voor de geadresseerde.
Indien u de informatie abusievelijk heeft ontvangen, wordt u verzocht
contact op te nemen met de afzender.
Aan dit bericht kunnen geen rechten worden ontleend.
--------------------------------------------------------------------


--------------------------------------------------------------------------------


_______________________________________________
De Alert-mailinglijst.
http://www.waarschuwingsdienst.nl/

_______________________________________________
Voor een maandelijks overzicht van alle uitgebrachte
waarschuwingen kunt u zich aanmelden voor de Nieuwsbrief:
http://www.waarschuwingsdienst.nl/render.html?cid=11&it=269

_______________________________________________
Alerts per SMS? Zie: http://www.waarschuwingsdienst.nl/render.html?cid=427
05-10-2003, 15:13 door Anoniem
Originally posted by Mpas
Heb je mij dat zien beweren dan? *LOL*

JAAAAAAAAAAAAAAAAAA!
05-10-2003, 15:14 door Anoniem
Originally posted by Rasheed
Hij staat helemaal niet bij de MS Windows Update, of vergis ik mij?

Ja, je vergist je.
05-10-2003, 15:16 door Anoniem
Originally posted by Mpas
404 File Not Found

Tja, maar Microsoft is eigenlijk best onzorgvuldig met z'n eigen website. Zo wilde ik onlangs nog een CD-rom bestellen, maar ook hier werd gezegd dat de pagina niet bestond. Het is helaas meer regel dan uitzondering dat er slordig met de website van ome Bill wordt omgesprongen...
05-10-2003, 15:21 door Anoniem
Hieronder vindt men de URL op de website van Microsoft Technet alwaar de cumulatieve patch voor Internet Explorer wordt besproken:

URL: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-040.asp
05-10-2003, 18:48 door Anoniem
OK op Windows update staat ie in ieder geval niet, maar ben toen op deze site gegaan: http://www.microsoft.com/windows/ie/downloads/critical/828750/download.asp

Ik zie nergens de versie voor Win98 SE staan, of ben ik nou gek?
05-10-2003, 20:02 door Anoniem
Dom van mij, er staat duidelijk aangegeven welke versies kwetsbaar zijn voor deze bug, Win98 SE in combinatie met IE 5.01 (wat ik gebruik) is er niet 1 van.

Het is al de tweede keer dat ik me geen zorgen hoef te maken, had ook al geen last van Blaster, zijn de oudere versies van Windows soms veilger ofzo? Heel raar.
05-10-2003, 20:10 door [Account Verwijderd]
[Verwijderd]
07-10-2003, 12:24 door Anoniem
ik klikte die link van mpas en kreeg de update gewoon binne
raar hoor
nemen jullie de troep in de maling ofzo ?

ik vindt het wel vreemd dat er zo nu en dan programmas worden gestart zonder dat ik dat doe

waar is die update voor als ik vragen mag ?

to boldly go where no one has gone before
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.