MyBB.de Forum

Normale Version: Problem mit Bildanhängen nach manuellem Upgrade auf 1408
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Seiten: 1 2 3
Ja...
Ja, aber auf eigenes Risiko Toungue
Auch mit Bildern als Anhängen kann man Schadcode einbinden (ich schriebs vorhinin dem andern Thread). Das funktioniert allerdings nur im Internet Explorer, der trotz seiner Unsicherhiet immernoch von vielne usern benutzt wird.
http://www.heise.de/security/dienste/bro...y_logo.jpg
zeigt ein Bild in allen normalen Browsern... Nur im IE wird ein JavaScript ausgeführt!

MFG
Hier gings um eine Lücke die auch in Firefox Opera Chrome etc. gezogen hat. Der IE ist eh ein Kapitel für sich. Wer als Boardadmin sowas verwendet der ist: selbst schuld kein mitleid Smile
Hier gehts nicht um die Boardadmins sondern darum, das Angreifer theoretisch die Session und Cookies anderer Benutzer ausspähen kann...
Wenn der Boardadmin IE verwendet dann ist das ganze noch schlimmer (auch bei mods/supermods)...
Da kann das MyBB aber wohl wenig dafür und auch nichts dagegen machen.
So ist es leider...
Verstehe ich das jetzt richtig:
Es gab eine Sicherheitslücke in den Attachments, die alle Browser betraf.
Diese wurde zwar nun geschlossen, allerdings werden Bilder nun immer gedownloaded.
Die oben gepostete Datei "repariert" die Bilder, sodass nurnoch der IE eine Sicherheitslücke hat?

Ist da nun vorrauszusehen, dass es in den nächsten Tagen ein MyBB 1.4.9 geben wird, die diese Sicherheitslücke "besser" behandelt (frostschutz hat da ja was angedeutet ^^)? Dann würde ich mit dem Update noch warten, ehe ich mir 2mal die Mühe mach.
Ich kann nicht hellsehen, aber ja, wäre schön wenn da noch eine bessere Lösung nachkommen würde.
Das von Marvin angedeutete Problem tangiert die von mir gemeldete Lücke nicht.
Vergiss alles, was über den IE gesagt wurde. Das ist ein IE-Problem, wogegen wir nichts machen können/werden.
Ich denke nicht, dass es bald eine neue Version geben wird. Ggf. wird diese eine Datei nochmal getauscht oder es wird eine alternative Datei angeboten.
Seiten: 1 2 3