Internet Explorer und seine Lücken

Schon wieder ist eine neue Lücke in Microsofts Internet Explorer bekannt geworden. Das Problem verursacht ein Fehler in der ActiveX-Control von ADODB. ADODB ist eine einheitliche Schnittstelle zu Datenbanksystemen. Für die Lücke existiert auch schon ein Exploit, der ein ActiveX-Objekt dieses Typs erstellt und mehrfach ausführt. Hierdurch entsteht vermutlich ein Speicherproblem, was zum Absturz des IE führt. Experten gehen davon aus, dass durch diese Lücke Code eingeschleust werden könnte, hier wird aber noch danach geforscht. Betroffen sind der Internet Explorer 6 und 7 auf Windows XP, unter Vista mit IE 7 solle es das Problem nicht geben, dort greift wohl die hoch eingestellte Sicherheitsfunktion und verhindert Schlimmeres.

Problemlösung:
Die einfachste Lösung, für Heimanwender wohl auch die sicherste, ist die Verwendung eines anderen Browsers, wie z.B. Firefox, der gerade in der Version 2 erschienen ist. Vorteil hierbei ist, dass andere Browser nicht in der Lage sind ActiveX zu nutzen. Ein anderer Weg wäre das Deaktivieren von ActiveX in den Internet Explorer Einstellungen, wer also auf ActiveX-Funktionen verzichten kann ist dadurch gut aufgehoben. Wer sich mit seinem System besser auskennt, der kann auch den betroffenen Registry-Key bearbeiten und so das entsprechende Modul gezielt abschalten. Hierfür wird im betroffenen Registry-Key das sogenannte Kill-Bit gesetzt, für die aktuelle Lücke erledigt man das unter der CLSID (00000514-0000-0010-8000-00AA006D2EA4). Dies sollte natürlich nur von erfahrenen Anwendern angewendet werden, da ein Eingriff in die Registry das gesamte System lahm legen kann. Eine Anleitung für das Setzen von Kill-Bits findet ihr unter den Links.

Links:

Howto phpBB Update Problem mit phpbb_sessions_keys

Es war wieder so weit ein Update für die bekannte Forensoftware phpBB Version 2 vorzunehmen. Also habe ich das Patchpacket mit den geänderten Dateien heruntergeladen und auf den Server kopiert. Dabei sollte man natürlich beachten, dass keine von einem selbst editierte Datei überschrieben wird. Bis dahin lief alles einwandfrei, die neue Versionsnummer wurde angezeigt und alle Standardfunktionen schienen ohne Probleme zu laufen. Was mich wunderte war, dass im install-Verzeichnis keine update_to_latest.php zu finden war, bei vorherigen Updates musste man diese Datei im Browser öffnen um das Schema der Datenbank anzupassen. Ich hatte gerade wenig Zeit, also dachte ich mir, dass das wohl ein neues Feature wäre, um das Patchen etwas einfacher zu gestalten und dass bei diesem Patch wohl nichts am Schema der Datenbank geändert werde. Nach kurzer Zeit wollte ich dann ein Passwort eines Benutzers ändern, da fiel mir auf, dass ich einen Fehler erhielt der mir mitteilte, dass wohl der Sessionkey des Benutzers nicht aus der Tabelle phpbb_sessions_keys entfernt werden könne. Ein Blick in phpMyAdmin zeigte mir, dass diese Tabelle nicht einmal existierte. Also habe ich das Internet etwas durchstöbert und mir fiel auf, dass viele dieses Problem hatten. Nach einiger Zeit der Recherche habe ich nun eine Lösung für das Problem gefunden, man muss lediglich folgende Zeilen Code in einer SQL-Abfrage in phpMyAdmin eintragen, um die Tabelle korrekt zu erzeugen:

DROP TABLE IF EXISTS phpbb_sessions_keys;
CREATE TABLE phpbb_sessions_keys (
key_id varchar(32) DEFAULT ‚0‘ NOT NULL,
user_id mediumint(8) DEFAULT ‚0‘ NOT NULL,
last_ip varchar(8) DEFAULT ‚0‘ NOT NULL,
last_login int(11) DEFAULT ‚0‘ NOT NULL,
PRIMARY KEY (key_id, user_id),
KEY last_login (last_login)
);

Kaum war das getan, lief alles wieder wie gewohnt.

Dieses Howto bezieht sich auf Version 2.0.21 unter Linux, es kann aber auch mit anderen Versionen funktionieren. Natürlich alles auf eigene Gefahr, ich übernehme keine Haftung für Probleme, die aus der Anwendung dieses Howtos entstehen.

Zum Schluss noch eine Anleitung wie man das Patch-Paket ordentlich installiert:

  1. Lade das phpBB-Patch-Archiv herunter, entpacke es und überschreibe die bestehenden Files auf dem Server (!!! vorher Backup aller wichtigen Daten und der Datenbank machen)
  2. Öffne eine Konsole (Linux — es gibt auch ein patch-Tool für Windows, das unter Cygwin läuft, siehe Links) auf dem Server, wechsle in das phpBB-Verzeichnis und führe folgenden Befehl aus
    patch -p1 -i phpBB-Version_alt_nach_Version_neu.patch
  3. Man achte bei der Ausgabe von patch auf etwaige Fehlermeldungen. Sollte es zu Fehlern kommen, dann wird eine Datei mit der Endung rej angelegt, in der man nachlesen kann, was nicht funktioniert hat. Man kann dann die Fehler manuell beheben, oder ein Fullupdate machen. Beim Fullupdate ist allerdings zu beachten, dass installierte Mods danach neu installiert werden müssen und dass editierte Dateien hierbei i.d.R. überschrieben werden, was aber kein Problem darstellt, denn man hat ja vorher ein Backup aller wichtigen Daten angelegt !!!
  4. War alles in Ordnung, dann führt man nur noch die Datei update_to_latest.php im Browser aus und löscht anschließend die Ordner install und contrib aus dem phpBB-Verzeichnis um die Installation ordentlich abzuschließen

Links:

Mozilla Firefox in Version 2 erschienen

Der Browser Firefox ist nun offiziell in der Version 2 erschienen und zum Download bereit. Er soll schneller sein, mehr Sicherheit bieten und man soll mehr Einstellungen anpassen können als zuvor. Das Tabbed Browsing wurde erweitert und so öffnen sich neue Seiten automatisch in einem neuen Tab. Versehentlich geschlossene Tabs können direkt über das Menü Chronik, unter dem Eintrag „Kürzlich geschlossene Tabs“, wiedergeholt werden. Eine weitere geniale Funktion ist eine automatische Rechtschreibkorrektur, die hilft Blogeinträge oder Webmailtext automatisch zu korrigieren. Ein anderes Feature schlägt Suchbegriffe in Suchfeldern automatisch vor, ob das sinnvoll ist, darüber kann man wohl streiten. Es gibt jetzt eine Sitzungswiederherstellung, die den Browser genau so wieder öffnet, wie er bei einem Abbruch verlassen wurde. Also sollte die Zeit der verlorenen Seiten vorbei sein und auch bereits eingegebene Formulardaten werden wiederhergestellt. Auch das Thema Sicherheit wurde vorangetrieben, so wurde ein neuer Phishingschutz eingebaut, der eine Warnung ausgibt wenn man einem Phishingangriff zum Opfer fallen könnte. Wird solch eine Seite bemerkt, so wird der Benutzer auf eine Suchseite umgeleitet, auf der er die richtige gesuchte Webseite auswählen kann. Natürlich kann man den Browser auf seine eigenen Befürnisse abstimmen, hierzu stehen mehr als 1000 Add-ons zur Verfügung. Zur Verwaltung dieser Add-ons hat man einen neuen Add-on-Manager für Erweiterungen und Themes eingebaut. Als letztes Feature will ich noch den neuen Suchmaschinen-Manager erwähnen, mit dem man nun seine favorisierte Suchmaschine in der Suchleiste des Browsers einbinden kann. Man muss also nicht auf Google setzen.

Der Browser ist ab sofort für Windows, Mac und Linux erhältlich und das sogar in etwa 40 verschiedenen Sprachen.

Links:

MacBook Pro wurde aktualisiert

MacBook ProDie mobile Proserie wurde stark aktualisiert. Ich denke, dass gerade Profis sich an manch feinem Detail, wie dem fehlenden Firewire 800 Anschluss beim 15,4 Zoll MBPro, gestört haben. Dies ist wohl bis zu Apple durchgedrungen und so wurde nun die Proserie ordentlich aufpoliert. Fangen wir an bei den Prozessoren, hier ist nun als kleinste Variante ein 2,16 GHz schneller Intel Core 2 Duo erhältlich, oder man wählt den 2,33 GHz Intel Core 2 Duo. Beide Prozessoren verfügen über 4MB Shared L2 Cache. Apple gibt eine Steigerung der Performance von bis zu 39% an. Ein weiteres Feature, das sich wohl gerade Profis die mit Videoschnitt arbeiten gewünscht haben, ist die nun auch beim 15,4 Zoll verbaute Firewire 800 Schnittstelle. Auch das DVD-Laufwerk wurde verbessert, es brennt jetzt immerhin mit sechsfacher Geschwindigkeit. Wem der Platz auf der bisher erhältlichen Festplatte noch nicht gereicht hat, der kann jetzt bis zu 200GB in das kleine MBPro packen und außerdem sind nun 3GB Arbeitsspeicher möglich. Also ein rundum gelungenes Update und das bei gleichbleibendem Einstiegspreis. Da wird Apple wohl ein paar MBPros umtauschen müssen, wer gerade eines gekauft hat, wird wohl nicht auf dieses Update verzichten wollen.

PS: Der Unterschied zwischen dem 15, 4 und dem 17 Zoll MBPro ist jetzt ziemlich gering, das 17er-Modell hat einen USB-Anschluß mehr, das DVD-Laufwerk brennt achtfach und das wars auch schon.

Link:

Internet Explorer 7 und die erste Sicherheitslücke

Heute hat Microsoft den Internet Explorer 7 offiziell zum Download freigegeben. Er soll vor allem die Sicherheit beim Surfen deutlich erhöhen. Doch wie man es von Microsoft gewohnt ist, existiert schon die erste Sicherheitslücke. Durch die Schwachstelle soll man vertrauliche Daten, von gerade im Browser geöffneten Webseiten, ausspähen können. Das Unglaubliche bei der ganzen Sache ist, dass diese Schwachstelle auch im Internet Explorer 6 zu finden ist und außerdem bereits seit April 2006 bekannt ist. Verwundbar ist der IE7 durch einen Fehler in der Verarbeitung von Weiterleitungs-URLs („mhtml:“). Bei Secunia wird über diese Schwachstelle berichtet, außerdem haben sie eine Testseite verlinkt, auf der man diese Lücke ausprobieren kann.

Abhilfe für dieses Problem schafft das Deaktivieren von ActiveX, bis ein Patch von Microsoft verfügbar ist.

Link:

  • Secunia IE7-Schwachstelle (Testseite)

Sciforce Podcast – Ausgabe 2

Podcast Shownotes – Ausgabe 2 – 08-10-2006

Download (mp3)

Thema 1 – News der Woche:

Thema 2 – Kostenlose Tools von Microsoft:

Thema 3 – VoIP (Voice over IP)

Thema 4 – Musiktip der Woche:

Feedback:

Kritik oder Anregungen könnt Ihr unter folgender Emailadresse loswerden:

podcast @ sciforce.de

PS: Sollte dir der Podcast gefallen und du willst das Projekt unterstützen, dann kannst du über den Paypal-Button auf der Startseite etwas spenden.

—————————————————————————

Dieser Podcast steht unter folgender Creative Commons License

Creative Commons License

Sciforce Podcast – Ausgabe 1

Podcast Shownotes – Ausgabe 1 – 01-10-2006

Download (mp3)
Thema 1 – Akkus tauschen ist In:

Thema 2 – Arte sendet AlienTV:

Thema 3 – Microsofts Mediaplayer Zune:

Thema 4 – Musiktip Danko Jones:

Feedback:

Kritik oder Anregungen bitte an folgende Emailadresse:

podcast @ sciforce.de

PS: Sollte dir der Podcast gefallen und du willst das Projekt unterstützen, dann kannst du über den Paypal-Button auf der Startseite etwas spenden.

—————————————————————————

Dieser Podcast steht unter folgender Creative Commons License

Creative Commons License