+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.4.x (https://www.mybb.de/forum/forum-51.html)
+---- Forum: Installation/Aktualisierung (https://www.mybb.de/forum/forum-53.html)
+---- Thema: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 (/thread-13619.html)
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - StefanT - 26.06.2009
Ja...
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - frostschutz - 26.06.2009
Ja, aber auf eigenes Risiko
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - MaR-V-iN - 26.06.2009
Auch mit Bildern als Anhängen kann man Schadcode einbinden (ich schriebs vorhinin dem andern Thread). Das funktioniert allerdings nur im Internet Explorer, der trotz seiner Unsicherhiet immernoch von vielne usern benutzt wird.
http://www.heise.de/security/dienste/browsercheck/demos/ie/msniff/security_logo.jpg
zeigt ein Bild in allen normalen Browsern... Nur im IE wird ein JavaScript ausgeführt!
MFG
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - frostschutz - 26.06.2009
Hier gings um eine Lücke die auch in Firefox Opera Chrome etc. gezogen hat. Der IE ist eh ein Kapitel für sich. Wer als Boardadmin sowas verwendet der ist: selbst schuld kein mitleid
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - MaR-V-iN - 26.06.2009
Hier gehts nicht um die Boardadmins sondern darum, das Angreifer theoretisch die Session und Cookies anderer Benutzer ausspähen kann...
Wenn der Boardadmin IE verwendet dann ist das ganze noch schlimmer (auch bei mods/supermods)...
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - StefanT - 26.06.2009
Da kann das MyBB aber wohl wenig dafür und auch nichts dagegen machen.
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - MaR-V-iN - 26.06.2009
So ist es leider...
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - Zwoetzen - 26.06.2009
Verstehe ich das jetzt richtig:
Es gab eine Sicherheitslücke in den Attachments, die alle Browser betraf.
Diese wurde zwar nun geschlossen, allerdings werden Bilder nun immer gedownloaded.
Die oben gepostete Datei "repariert" die Bilder, sodass nurnoch der IE eine Sicherheitslücke hat?
Ist da nun vorrauszusehen, dass es in den nächsten Tagen ein MyBB 1.4.9 geben wird, die diese Sicherheitslücke "besser" behandelt (frostschutz hat da ja was angedeutet ^^)? Dann würde ich mit dem Update noch warten, ehe ich mir 2mal die Mühe mach.
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - frostschutz - 26.06.2009
Ich kann nicht hellsehen, aber ja, wäre schön wenn da noch eine bessere Lösung nachkommen würde.
Das von Marvin angedeutete Problem tangiert die von mir gemeldete Lücke nicht.
RE: Problem mit Bildanhängen nach manuellem Upgrade auf 1408 - StefanT - 26.06.2009
Vergiss alles, was über den IE gesagt wurde. Das ist ein IE-Problem, wogegen wir nichts machen können/werden.
Ich denke nicht, dass es bald eine neue Version geben wird. Ggf. wird diese eine Datei nochmal getauscht oder es wird eine alternative Datei angeboten.