staci premenovat IEXPLORE.EXE na nieco ine? :)

Obrana: zde Microsoft informuje o moznostech obrany: http://www.microsoft.com/technet/security/advisory/961051.mspx
Nejzajimavejsi je asi zapnuti DEP pro IE7 ... Local Administrators can control DEP/NX by running Internet Explorer as an Administrator. To enable DEP, perform the following steps:

1.

In Internet Explorer, click Tools, click Internet Options, and then click Advanced.

2.

Click Enable memory protection to help mitigate online attacks.

Impact of workaround: Some browser extensions may not be compatible with DEP and may exit unexpectedly. If this occurs, you can disable the add-on, or revert the DEP setting using the Internet Control Panel. This is also accessible using the System Control panel.

To JeJe: Podivej se prosim na tento graf a opet zhodnot, jak kdo rychle pracujena na ostranovani chyb :) _http://blogs.technet.com/blogfiles/security/WindowsLiveWriter/Imagesfrom... (jde o data za prvni pololeti 2008). Pocet utoku na jednotlive platformy najdes zde: _http://blogs.technet.com/blogfiles/security/WindowsLiveWriter/Imagesfrom...
Vice na toto tema zde: _http://blogs.technet.com/security/archive/2008/10/28/download-h1-2008-de...

Vypadá to s IE čím dál lépe - přibývají nové funkce ... ach promiňte nové díry.
Docela tedy chápu firemní potlačování jiných prohlížečů :-)
 

já jen čekám kdy se nějaká větší firma naštve a po útoku nějakýho hackera naúčtuje miliardové odškodnění.....osobně nechápu že se to neděje každej den :-)
btw: když vydaj záplatu tak ta bude spočívat v tom že v registrech povypínaj to co teď raděj a budou doufat že když se rozkřikne že už to opravili tak to nikdo nebude zkoušet :-)

krakora: MS ruci za zpusobene skody do vyse ceny SW. Tezko rict, jestli by to v tomto pripade byla cena licence windows, nebo cena licence MSIE(0).

MS Guy: OK, v MS komunite sa to tutla 3 mesiace, potom sa to zvetejni a o mesiac doda oprava.
V *nix systemoch sa chyba zverejni o mesiac po najdeni a o tri mesiace sa doda oprava.
celkovy cas zostava rovnaky :D

MS vyjadreni: http://blogs.technet.com/technetczsk/archive/2008/12/15/dal-d-le-it-upda...

Záplata už vyšla - http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
 

zprávy o díře v IE vysílané v televizi dokonce přesvědčily našeho ředitele, aby si nechal nainstalovat Firefoxe

A je to tu zase? Proc by seml pouzivat jiny browser... nejlepe Firefox ze? Nejvice problematicka aplikace na windows platforme http://www.neowin.net/news/main/08/12/16/firefox-tops-list-of-most-vulne.... A ze Firefox nemel napatchovane kriticke chyby? Ale kdeze staci trochu hledat nebo mit pamet nezamlzenou antimicrosoftim hlenem. http://news.zdnet.com/2100-3513_22-144563.html http://www.informati...
 
Chce to ale trochu premyslet a nebyt hlupak co je schopny jen hltat pofiderni zpravy antimicrosoftich individuii ono je to dneska strasne cool plivat na Microsoft ze ano?

Compaq: to nemyslis vazne, posilat tu linky z blogisku, nebo z webu Mozilly. Co ale ocekavat ze? Je to klasika jako vzdycky, ti co obhajuji bezpecnost firefoxu nemaji zadne relevantni udaje a vyvraci vsechny ostatni studie, bud ze jsou placene Microsoftem nebo nepresne. Jdete s tim uz do haje.

WIFT: jak s tim souvisi tvuj odkaz opravdu nechapu. Tyhle bulvarni clanky jsem cetl, "bezpecnostni experti" rikaji. Ale uz se nerekne ze to jsou vetsinou tak akorat recenzenti softwaru ruznych IT magazinu. Ale to je asi fuk. Firefox jsem uvedl zamerne, protoze se velmi rad prezentuje jako ohromne bezpecna aplikace a kazdemu se doporucuje jako vselek proti bezpecnostnim problemum. To je cele.

to WIFT: zalezi na uhlu pohledu ve firemnim prostredi to jsou hodne dulezite funkce. Ale i kdyz je neuznas, existuje hromada dalsich studii kde se srovnavaji jen ciste pocty problemu a opet svete div se Firefox vede. Nemam proti tomuto prohlizeci zhola nic jen me dokaze hodne rozcilit jakym zpusobem se propaguje jako etalon bezpecnosti kdyz je to prave naopak. Dalsi hezka finta od FF je vzdy hezke precislovani verze s opravou bezpecnostnich problemu ono to pak oku vic lahodi kdyz verze x.xx.xx vlastne jeste zadnou chybu nikdy nemela. Vyplati se dat si ten cas najit dalsi studie popripade si to spocitat sam napriklad ze Secunie, ale upozornuji ne pocitat kumulativni problem ktery resi 12 problemu jako jeden nedostatek ale jako nedosttaku 12! Nechce se mi ztracet cas ze to ted zacnu hledat protoze mma pocit ze stejne presvedcit nepujdes, popravde ani me to moc nezajima. Bude me jen stacit aby IT magaziny informovaly kvalitne a nemerily dvojim metrem. Kdy o IE se napise Kriticka chyba, Microsoft si nevi rady a problemech ve FF se taktne napise: Nova verze Firefoxu vylepsuje zabezpeceni. (cteme opravuje nekolik kritickych problemu)

Asi takhle, kazdy browser, ktery se stane popularnim, se stane zajimavym i pro hackery. Do te doby je dany software "bezpecny". Ja nemam rad explorer ne pro jeho diskutabilni deravost, ale pro jeho pohradni standardy. XHTML je pro nej neco co porad neexistuje :/ Jelikoz IE nedokaze akceptovat media type application/xhtml+xml. Sice se na w3c pisi triky jak donutit IE sezrat dokument jako xml, ale to neni postacujici. Kdyz to vezmu do extremu vetsina tzv. validnich stranek neni validnich uz diky nejrozsirenejsimu prohlizeci IE. A to se mi proste zajida v krku.

Zde je odkaz v FAQ na IE + XHTML
http://www.w3.org/MarkUp/2004/xhtml-faq

jeste pridam pro stouraly oficialni vyjadreni Chrise Wilsona, proc IE7 stale nepodporuje mime type "application/xml+xhtml". A jen tak pro zajimavost, zkuste si na w3 anjit jmeno chris Wilson :) Ano hadate spravne, je signatarem xhtml formatu :D I "love XHTML (go look, my name is in the credits for XML 1.0); it?s capable of being truly interoperable if done right."

http://blogs.msdn.com/ie/archive/2005/09/15/467901.aspx

to vecerpostaranni: s tim se da souhlasit. Ze IE moc nerespektuje standardy vyvratit samozrejme nelze a je to spatne. Kritika zde je zcela zaslouzena a je treba s tim neco delat. Sice dochazi ke zlepsovani ale jen velmi pomalu. Neodpustim si ale mensi obhajobu. Myslim si totiz, ze problem predevsim vznikl v zacatcich internetu, kdy IE vytlacil Netscape. V te dobe bohuzel nebylo konsorcium schopne dostatecne flexibilne reagovat na rozmach ruznych funkci ktere byly potreba a tak si je MS proste zacal vytvaret sam tak aby uspokojil poptavku uzivatelu. Pozdeji k tomuto samozrejme jiz nedochazelo, jenze co pak delat s tim co uz jednou je a weby to pouzivaji? Je tedy otazkou na ci strane byla chyba a zda-li za ni muze opravdu 100% pouze Micorsoft.

to WIFT: to ano, ale proc rovnou nenapsat nepouzivejte Windows? Vysledek je stejny tim problem prece taky vyresime.
 
Priklad s poctem je uveden spravne, ted to jen udelat pro nekolik mesicu pro konkretni produkty a cisla jsou na stole. Kdybych narazil na odkaz dam ho sem. Nekolikrat jsem to uz videl. Me se to pocitat opravdu take nechce.
 
To ze se venuje vice pouzivanejsim produktum je logicke ale neznamena to, ze se musi psat "bulvarnim" stylem tak aby se to zalibilo co nejvetsimu poctu ctenaru. Zpusoby tohoto typu prece nepatri na odborny web.

Dvolim si jeste okomentovat Windows. Jako zasadni problem vidim velmi jednoduse, az skolacky jednoduse pojate reseni priority procesu a I/O front. Co nekdy predvadeji XP kdyz se zacne poradne vrtet datama na systemu s vice disky a jeste nekolika disky pres USB a radne velkou RAM, nekdy zustava rozum stat, ale budiz.
Od UNIX scheduleru by se leckyds mohli priucit i lide - moderne se tomu rika "time management". Leta mne zivi UNIX, ale - svete div se, pisu ted z Win-XP 64 a Opery.. A pocitam, ze to tak jeste par let zustane. Duvodu je vice a Wift jich par vyjmenoval.
Ze vicejadrove procesory dramaticky vylepsi "sviznost" windows je jenom marketingovy zvast ktery vetsina lidi uz prokoukla :) Ale to uz jsem trochu off topic :/

Tak už se to nainstalovalo. A popis byl v angličtině. Je vidět že to spěchalo. Na PC mám IE 8 betu a na notebooku IE 7. Jinak já používám Mozillu, nebo Operu a na Notebooku je kvůli manželce , které se líbí víc Opera. Ale IE ten nezatracuji...

2 Dwarden: Pravdu díš, každej dnes dostupnej prohlížeč je děravej jak řešeto.Akurát u MS se na tyhle fakty velice rádo upozorňuje :)

Vraana1: Hlavne mu tam nezapomen nahrat vcerejsi kriticke aktualizace. :-)

Wift: a ty máš málo místa na disku? Já jenom, že na tohle si těžuje tak 0.000nic uživatelů - ostatní si smažou ikonku ie z plochy a mají po problému.
A i vy, co si stěžujete, určitě nedostatkem místa netrpíte... a jiný relevantní důvod nemáte

aha, takže celé je to o nějakých "principech" :) tak to jo :)

Jak rika hodne lidi, explorer se hodi jen pro stazeni FF/opery/chrome, k nicemu jinymu v systemu neni, kdyby misto ikony internet explorer dali "Stahnout firefox" vetsina lidi ani nepozna rozdil...
tedy krome toho ze nemusi psat adresu...

mate nekdo tuhle zaplatu pro IE8 RC 1 ? ta co je pro Beta 2 tak nejde pouzit (rozdilna verze) nebo ta release candidate 1 touhle chybou neni postizena?
 
mam ten Internet Explorer 8.6001.18343

pikacc : IE používám odjakživa a jsem s ním maximálně spokojen...

azazel: a jak casto cistis pocitac od viru, spyware, malware a podobnyho balastu... ja vubec

Azazel: neberu ti to, nekomu IE staci, nekdo potrebuje neco vic...
Pak tu jsou jeste ty lidi s jabkem...

Azazel: treba jenom proto ze jine prohlizece neznas a prijde ti to lepsi nez prohlizet www telnetem :D

jinak v praci po aplikaci teto zaplaty se mi chtely windows restartovat...tak to musela bejt ta chyba pekne hluboko v systemu ;)

WIFT: Bohuzel u vetsiny uzivatelu windows je predpoklad demence uživatele spravny, takze co jineho nez povysit ho na funkci OS s tim chces delat ?

(Poznamka: optimisticky predpokladam, ze v diskusi pritomni uzivatele windows patri do mensiny. Tohle neni o windows, tohle je o BFU.)

to:Trashman
Můžeš mě prosím tě zdůvodnit proč je -Firefox- šmejd ?

>WIFT: Tak se mi zda ze by cdr.cz nemelo hned podlehat kazde zprave co si nekde prelozi ze zahranicniho webu.At se divam na originalni zdroj toho clanku sebelepe, nemuzu se zbavit dojmu ze je napsan jen proto aby zvedl ctenost na zaklade vyumelkovane "kauzy".
Veta typu: However, malware authors have already begun pushing out customized variants of the flaw that the Microsoft patch may not address.
Kde se nachazi "MAY NOT" hovori za vse. V originalnim clanku neni jediny relevantni odkaz nebo informace o zneuziti teto chyby ktera by obesla patch. To co popisujete na cdr serveru jako priklad je trochu malo. Zatim neexistuje jediny proof-of-concept ktery by toto potvrzoval a stejne tak zadne opravdu security orientovane a uznavane kanaly takovouto informaci nedisponuji. Zvlastni ze o tom neni jedine slovo napriklad ani na Bugtraqu.
Mozna se nekdy vyplati chvili pockat nez je zprava opravdu overena a to i faktickymi daty nez ji zverejnit predcasne a vystavovat se riziku "jedna pani povidala"

Když jsme u těch novinek, je venku nový opensuse. :-)

> WIFT: Jeste bych dodal, ze clanek ze ktereho jsi cerpal ty, zase pro zmenu cerpal z McAfee blogu, kde se uz ale samozrejme nepise nic o tom ze by slo pach obejit. Slo ciste o to ze "workaround" zverejneny Microsoftem (jeste pred tim nez byl vydan patch), nemusel uzivatele proti tomuto typu utoku ubranit. Na patch se tato informace ale samozrejme nevztahuje a ani vztahovat nemuze protoze zprava na McAfee je vydana ve 4 hodiny rano CST a patch byl vydan nekdy v 19:00 CET. To znamena, pokud dobre pocitam, ze McAfee ma stroj casu, protoze v dobe kdy napsal svuj prispevek patch jeste neexistoval asi po dalsich 8 hodin. Doufam ze se ctenarum omluvis za sireni nesmyslu.
Odkaz na McAfee http://www.avertlabs.com/research/blog/index.php/2008/12/17/ie-7-exploit...

OT:
Trashman: Nechápu, jak si dovolujete shazovat produkt zdarma, za kterým je tolik práce - a výsledků. Mám své důvody si myslet, že je Opera méně kvalitní, ale přesto ji respektuji a ladím pro ni stránky.
Co se týče IE, včera jsem si užil své při vysvětlování nevýhod IE BFU. Aspoň nebyl konzervativní a snad bude alternativní prohlížeč i používat.

Ještě nikdo sem nedal odkaz na stažení, tak posílám aspoň odkaz na security bulletin, který toto řeší (a je rozcestníkem pro všechny systémy)
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx

to PaoloCZ: ono staci spustit Windows Update :)

Podotkl bych, že v noci se na WSUS stáhla záplata, ale když jsem ráno pro jistotu dal ještě jednou synchronizovat, tak se táhla revidovaná verze. Takže to všechno asi nebylo až tak jednoduché.

to Petyy: tak to je neco spatne u tebe, protoze patch revidovany nebyl.

Tak vidim ze opravy clanku se jen tak brzo nedockame. Zatim jsem si vsiml ze link na zdejsi blud uz pastuji lidi i v diskuzich na Technetu.cz. Krasna live ukazka toho jak vitezi demagogie nad faktickymi informacemi. Blesk se ma co ucit.

paveIP: Tak to slyším poprvé, že by si dva nezávislé WSUS3 SP1 servery (jeden tahá eng. serverové věci, druhý cz pro stanice) oba najednou bezdůvodně vymyslely, že stáhnou 6 verzí (pro různé verze IE) revidované záplaty 960714. Pobavil jsi mne.

Petyy: Promin ale to nemuzes myslet vazne. Kazdy revidovany patch je radne ohlasen vcetne toho proc k tomu doslo. V pripade MS08-078 k nicemu takovemu rozhodne nedoslo a lze to snadno overit na strankach Microsoftu. A samozrejme ani beznym uzivatelum nezacal Windows Update najednou nabizet dalsi patch. Prosim nemat lidi. Dik Pokud tvrdis opak posli odkaz, ktery to potvrzuje.

Mirek01: Co se divíte, vy chcete po bulváru seriózní informaci?

PavelP. Interní WSUS servery ve firmě ti zpřístupnit nemohu. Stejně by ses na ně neměl sebemenší šanci dostat. A o výpisu zřejmě prohlásíš, že je zfalšovaný. Já jsem se ráno o půl sedmé bavil tím, že jsem ručně synchronizoval osm replika WSUS serverů v ostatních městech, abych na ně dostal revidovaný patch ještě dnes a co nejdřív. Takže si mysli co chceš, třeba si mysli, že MS každou revizi zveřejňuje. 
Nutno dodat, že nemám potuchy, čeho se revize týkala, texty jsou u původní i revidované verze totožné. Mohlo klidně jít o nějakou drobnou kosmetickou změnu.

Petyy: Divej ja se nechci hadat o hloupostech. Ale prijde mi minimalne divne ze 1. nikde neni popsana revize, 2. na zadne stanici ani serveru jsem nedostal nabidnuty revidovany patch, 3. nikdo krome tebe na toto jeste neupozornil.
A opravdu verim tomu ze MS kazdou revizi oznamuje a to ne jen patchu ale i popisu u Security Bulletinu. Shodou okolnosti dneska byl revidovan MS08-072, MS08-069 a to pouze z duvodu zmeny popisu v bulletinu.
Nerikam ze lzes, ale myslim si ze spis jde o nejakou jinou chybu. Patch revidovan proste nebyl.

Patch skutečně revidován byl.... Původní verze měla ještě popis v angličtině, až ten nový v českém jazyce.

koho by zaujimal ako vyzera funkcny ie exploit, pozrite si
hxxp://www.china-jinpin.com/2008/ie7.htm
neodporucam v ZIADNOM PRIPADE spustat v exploreri.

Bobrnautus: to ale neni revize a ani duvod k poskytnuti noveho patche. Podivejte se zde: http://www.microsoft.com/technet/security/Bulletin/MS08-078.mspx Nikdy k zadne revizi nedoslo.

Bobrnautus: jeste dodatek, pokud si stahnete jak ceskou verzi patche tak anglickou a porovnate je kdy byly digitalne podepsany - cas je totozny. Se soubory se tedy nemohlo hybat.

pro PavelP: Ano, ale někteří dávají přednost ručnímu stažení, případně to můžou stahovat v práci nebo někde jinde, kde mají rychlejší připojení a pak přenést ke stroji, který jede třeba na GPRS. ;)

Exploit na stránke hxxp://www.china-jinpin.com/2008/ie7.htm Eset Smart Security odhalil a nedovolil mu preniknúť do počítača :-)

Nic se nestalo, ono stejne v IE 7, 8 bude zase jina díra.

Díry v programech vždy byly a vždy budou a vždy bude existovat období mezi objevením a opravou
- jediná rozumná cesta je používat antivir

na to jsi prisel sam stim antivirem nebo ti pomohlo nejake dite ?

to wift: Asi stárnu... (nejvyšší čas se na to vykašlat).

preco to nezvalis radsej na alkohol?;D

WIFT: existuje rozšíření, pomocí kterého jde přepnout Firefox z gecka na trident (pak ti samozřejmě WU pojede, ale zase už to není Firefox ale jenom jinak "obarveny" IE)

Hnz: Funguje i pod linuxem ? (Ne ze by se uzivatel linuxu potreboval nejak casto pripojovat na windows update ...)

hkmaly: ve Wine by to teoreticky jet mohlo, ale nevím jak se na to bude tvářit ActiveX ve WU :)

Pro všechny, kdo považují MSIE za jediný způsob aktualizace Windows - není to pravda. Můžete aktualizovat manuálně, stahovat si pomocí takřka jakéhokoli browseru patche. Můžete stejně tak používat prostředky třetích stran... V sítích snadno použijete WSUS. Je to jen a jen na vás, jakou cestu si zvolíte ;-)

Tak tahle úžasná aktualizace mi shazuje Vista Business x64 do BSOD. To, že je Vista neuvěřitelná sra*** tady psát nebudu to už bylo napsáno x-krát, ovšem pokaždé se mi podařilo nějak BSOD překonat. Po instalaci této aktualizace (jen tak btw přes Windows Update) a následném restartu, kdy proběhne 3. krok ze 3 konfigurace aktualizací, naběhne systém naposledy. Pak po restartu a během nábíhání spadne systém do BSOD a jedinou možností je nástroj pro obnovení systému. Systém pak sice naběhne, ale samozřejmě do stavu před instalací aktualizace (tím pádem je mi znovu nabízena k instalaci atd. a pokud náhodou ji dám instalovat, je to opět otázka 2 restartů a jsme tam kde jsme byli). Bravo Microsoft !!!

Aktualizaci jsem instaloval na vsechn pc v siti (asi 20) s Win Wista 32i64bit a zadny problem s modrou se nekona. Komu to hazi modrou ma problem davno nekde jinde, ne u vyrobce Windows. 

Dal jsem si tu praci a vyvoril statistiku bezpecnostnich problemu pro Firefox 3.x a Internet Explorer 7 ktera zachycuje problemy od vydani FF 3.
Jde o cista data cerpana z National Vulnerability Database. Pokud se chcete podivat http://www.kubikcz.net/ie_vs_ff/ 
Data budu updatovat takze by to melo byt vzdy aktualni. Myslim ze bylo treba neco podobneho vytvorit, protoze souhrnymi akualizacemi se spousta informaci o poctech chyb docela ztraci.