Service Pack 2 von Windows XP bricht Kompatibilität
Manche Programme werden aufgrund der vorgenommenen Änderungen nicht mehr starten – Microsoft fordert Hersteller zum Test auf
Link

Mit dem Service Pack 2 für Windows XP hat Microsoft einige Änderungen im Blick, die über die eines normalen Updates hinausgehen. So sollen zahlreiche Verbesserungen im Sicherheitsbereich ein weniger angreifbares System ergeben. Genau diese könnten aber für viele AnwenderInnen unangenehme Nebeneffekte ergeben: So hätten einige Programme mit den Änderungen so ihre Probleme und würden nicht mehr starten.

Schwierigkeiten

Dies beträfe allerdings nur Software, die schlecht programmiert sei und sich nicht an Programmierrichtlinien halte, so Produkt-Manager Tony Goodhew. Dass in dieser Hinsicht offensichtlich auch Microsoft-intern noch einiges zu lernen sei, zeigt, dass auch die Entwicklungssoftware Visual Studio .NET unter den betroffenen Anwendungen ist.

Umarbeitung

Der Softwarehersteller dokumentiert auf einer eigenen Seite die vorgenommenen Änderungen – vor allem im Bereich der Netzwerksicherheit – und fordert nun AnwedungsprogrammiererInnen auf, die Kompatibilität ihrer Programme zeitgerecht zu testen und nötigenfalls für das Mitte des Jahres geplante Service Pack 2 fit zu machen.

Quelle: http://derstandard.at/?id=1592560

was soll ich nun davon halten :D :D

:lol:

Ich könnte mir vorstellen, daß frühere MSO-Versionen auch betroffen sind. Wenn ich mir den Office2k-Murks so anschaue ... :eyes:

gabs solch eine Meldung nicht auch zum Service pack1 von windows xp?! :kratz:

Jedenfalls gabs da iirc die gleiche Situation.

http://www.infoworld.com/article/04/03/04/HNwindowsxpsp2_1.html

"The great bulk of applications will not be affected by memory protection. The number one that leaps to mind is execution environments with just-in-time code generation. The .Net Framework is one," Goodhew said.

Java irgendwer?

Hmmm


Mäx Päin 2 läuft beispielsweise net unter dem SP2 :asshole: - zumindest net in der ersten deutschen Beta...

Aber ob dies mit dem angesprochenen Prob was zu tun hat :D ;) ?

Original geschrieben von Ulukay
Quelle: http://derstandard.at/?id=1592560

was soll ich nun davon halten :D :D


Als ich das beta drauf hatte funktionierten bei mir auch ein paar Programme nicht mehr, daher hab ich es erstmal runtergeschmissen.

Also eins weis ich jetzt schon: Wenn das SP2 offiziel draußen ist werd ich erst mal auf die Beurteilungen einiger mutiger "Beta Tester" warten. Ich hab nämlich keine Lust ein SP zu installieren, wo nach der Installation einige Programme nicht mehr laufen ;)

Was bringt mir das denn übrhaupt...

.. klar, vielleicht ein paar verbesserungen...

.. aber solange alles fehlerfrei läuft, weshalb sollte ich dann was neues draufspielen und somit in Kauf nehmen, dass manche programme nicht mehr laufen?

Vorerst kommt bei mir kein neues Servicepack drauf...

DK

wahrscheinlich wird dann der IE nicht mehr laufen;D:D;D

der hat soviele sicherheitslücken und ist so schlecht programmiert:D


gruss

Original geschrieben von greenvirus
wahrscheinlich wird dann der IE nicht mehr laufen;D:D;D

der hat soviele sicherheitslücken und ist so schlecht programmiert:D


gruss
... zum glück schreiben die nicht "alles schlecht programmiert läuft nicht mehr" .. man stelle sich vor, nach dem installieren von sp2 startet xp erst gar nicht mehr :D
edit: obwohl .. das wär wohl die einzig mögliche kombination aus "sicher" und "windows" ...

Original geschrieben von Kurgan
... man stelle sich vor, nach dem installieren von sp2 startet xp erst gar nicht mehr :D
edit: obwohl .. das wär wohl die einzig mögliche kombination aus "sicher" und "windows" ...

Na sowas braucht man sich nicht vorzustellen, ich habe schon erlebt, daß nach einer Installation von einem Servicepack (SP4 in W2K) das System tot war und nicht mal der abgesicherte Modus noch was gebracht hat.

Original geschrieben von Kurgan
... zum glück schreiben die nicht "alles schlecht programmiert läuft nicht mehr" .. man stelle sich vor, nach dem installieren von sp2 startet xp erst gar nicht mehr :D
edit: obwohl .. das wär wohl die einzig mögliche kombination aus "sicher" und "windows" ... wie sich die linux trolls austoben...und der ie ansich ist auch soooo schlecht...

Original geschrieben von 0711
wie sich die linux trolls austoben...und der ie ansich ist auch soooo schlecht...
Du meist abgesehen von all den offenen und regelmässig auftauchenden, immer wieder gleichen Sicherheitslücken, die designbedingt sind und davon, dass er nicht mehr weiterentwickelt wird?

Original geschrieben von 0711
wie sich die linux trolls austoben...und der ie ansich ist auch soooo schlecht...

1. linux bisher nur probeweise .. weit entfernt von "troll"
2. in der tat, der ie ist sowas von schlecht ... (den benutz ich nur in notfällen)

ich finde das einen richtigen schritt von m$. wer nicht richtig geprogt hat -> pech

hauptsache win wird etwas sicherer

Original geschrieben von Gast
ich finde das einen richtigen schritt von m$. wer nicht richtig geprogt hat -> pech

hauptsache win wird etwas sicherer
:lolaway:
der war gut, schöner lacher am vormittag ;)

Original geschrieben von Kurgan
1. linux bisher nur probeweise .. weit entfernt von "troll"
2. in der tat, der ie ist sowas von schlecht ... (den benutz ich nur in notfällen) 1. wieso nicht öfter? wenn windows sooo unsicher ist...
2. kannst mal was konkrettes nennen das nicht auf active x zurückzuführen ist, der ie hat nicht wesentlich mehr lücken als andere browser

Original geschrieben von HellHorse
Du meist abgesehen von all den offenen und regelmässig auftauchenden, immer wieder gleichen Sicherheitslücken, die designbedingt sind und davon, dass er nicht mehr weiterentwickelt wird? also "nichtmehr weiterentwickelt"...naja mitm sp2 tuts sich auch im bezug aufn ie durchaus einiges..

Original geschrieben von 0711
1. wieso nicht öfter? wenn windows sooo unsicher ist...

wenn man weiss wie kann man windoof weitgehend abdichten.
wenn ich mal wieder richtig zeit und muße hab werd ich mich damit auch nochmal beschäftigen, nur ma zwischendurch rumstümpern ist nicht das wahre für mich
Original geschrieben von 0711
2. kannst mal was konkrettes nennen das nicht auf active x zurückzuführen ist, der ie hat nicht wesentlich mehr lücken als andere browser
guck mal hier (http://www.heise.de/newsticker/search.shtml?T=sicherheitsl%FCcke+internet+explorer&button=suchen%21)
1. die zeitspanne zwischen "lücke gefunden" und "lücke geschlossen" ist beim ie (meistens) um jahre größer als bei anderen browsern, speziell den opensource browsern
2. im gegensatz zum ie hängen andere browser nicht bis zum hals im betriebssystem
3. ob die sicherheitslücke durch aktive x oder wischiwaschi entsteht ist eigentlich vollkommen wurscht.

Original geschrieben von 0711
also "nichtmehr weiterentwickelt"...naja mitm sp2 tuts sich auch im bezug aufn ie durchaus einiges..
pop-up blocker, nachdem es die ganze Welt ausser IE hat, boah

Original geschrieben von 0711
2. kannst mal was konkrettes nennen das nicht auf active x zurückzuführen ist, der ie hat nicht wesentlich mehr lücken als andere browser

:lolaway:
http://www.heise.de/newsticker/search.shtml?T=internet+explorer+sicherheitsl%FCcke+activex&button=suchen%21

Original geschrieben von Kurgan
:lolaway:
der war gut, schöner lacher am vormittag ;)

wieso?

Original geschrieben von HellHorse
pop-up blocker, nachdem es die ganze Welt ausser IE hat, boah

ja, wirklich innovativ ... für sp3 (etwa 2006) ist geplant, endlich mal html w3c-konform darzustellen ..
Original geschrieben von HellHorse
:lolaway:
http://www.heise.de/newsticker/search.shtml?T=internet+explorer+sicherheitsl%FCcke+activex&button=suchen%21

heise suche
sicherheitslücke internet explorer = 88 treffer
sicherheitslücke opera = 8 treffer
sicherheitslücke mozilla = 5 treffer
sicherheitslücke netscape = 25 treffer (ups .. hätt ich nicht gedacht)

Original geschrieben von Gast
wieso?

sicherer wird das keinen deut, das ist sicher .. die nächsten löcher tauchen bestimmt auf, das ist sicher ...

ein tor geschlossen .. besser als keins...

m$ produkte sind unsicher...

aber man darf auch nicht vergessen, dass besonders die m$ produkte ins visier genommen werden (da markführer). ...

das soll aber nicht m$ entschuldigen...

die sollten mal ein ordentliches os + software proggen, dann brüchte man für sicherheit kein palladiumschrott

jeder der ein SP-Pack installiert sollte sich im klaren sein, das Programme nicht mehr richtig funktionieren oder anders bzw. schlechter laufen als vorher. das war seit w95 und mit allen nachfolgern schon der fall.

übersetzt heist das winxp ist ein "anderes" betriebssystem als winxp sp1 oder winxp sp2.


das liegt an microsofts genialer programmentwicklung.


viel spaß beim testen.

Original geschrieben von Kurgan
wenn man weiss wie kann man windoof weitgehend abdichten.
wenn ich mal wieder richtig zeit und muße hab werd ich mich damit auch nochmal beschäftigen, nur ma zwischendurch rumstümpern ist nicht das wahre für michich will einfach mal jemand zitieren "fehlendes know how kann durch geld nicht ersetzt werden" (oder so ähnlich)...so sieht es überall im computerberreich aus...

guck mal hier (http://www.heise.de/newsticker/search.shtml?T=sicherheitsl%FCcke+internet+explorer&button=suchen%21)
1. die zeitspanne zwischen "lücke gefunden" und "lücke geschlossen" ist beim ie (meistens) um jahre größer als bei anderen browsern, speziell den opensource browsern
2. im gegensatz zum ie hängen andere browser nicht bis zum hals im betriebssystem
3. ob die sicherheitslücke durch aktive x oder wischiwaschi entsteht ist eigentlich vollkommen wurscht.
nicht alle 88 sind auf den ie bezogen ;) allerdings durchaus einige davon....neuere versionen vieler browser kommen nicht umsonst und ich sehe den ie immernochnicht als einziges sorgenkind mit sicherheitslecks...
1. mag sein, kann ich nicht wiederlegen...
2. ja...stört mich allerdings nicht im geringsten
3. macht allerdings einen unterschied, die lücken bleiben, lassen sich aber "ausschalten"...


@hell horse...
niemand hat gesagt der ie sei besonders fortschrittlich, allerdings tut sich trotz der behauptung "wird net weiterentwickelt" etwas...

Original geschrieben von 0711
ich will einfach mal jemand zitieren "fehlendes know how kann durch geld nicht ersetzt werden" (oder so ähnlich)...so sieht es überall im computerberreich aus...

da seh ich jetzt aber nicht so unbedingt den zusammenhang zum thema ...
Original geschrieben von 0711
nicht alle 88 sind auf den ie bezogen ;) allerdings durchaus einige davon....neuere versionen vieler browser kommen nicht umsonst und ich sehe den ie immernochnicht als einziges sorgenkind mit sicherheitslecks...
1. mag sein, kann ich nicht wiederlegen...
2. ja...stört mich allerdings nicht im geringsten
3. macht allerdings einen unterschied, die lücken bleiben, lassen sich aber "ausschalten"...

zu 1. ist so, ich kanns beweisen ;) (nochmal heise genauer gucken ;))
zu 2. würde mich auch nicht weiter stören, wenn das nicht einer der hauptgründe dafür wäre, das der ie so ziemlich alles am bs kaputtschiessen kann
zu 3. oh, sorry, ich vergass: it´s not a bug, it´s a feature :lolaway:

ich geb auf, ie ist der beste, sicherste und sowieso und überhaupt einzig wahre browser der weltgeschichte, jetzt und und in ewigkeit ...

ich geb auf, ie ist der beste, sicherste und sowieso und überhaupt einzig wahre browser der weltgeschichte, jetzt und und in ewigkeit ...

Ich sag nur : Security (http://www.microsoft.com/security/home/)

Ich zitiere: "Don´t wait!"

= Originalzitat von Microsoft. Ist aber soooo sicher ;)

Wahrscheinlich hast Du recht. Gegen die HardcoreWinUser kommt man einfach nicht an ;).

So long Ajax

Original geschrieben von Kurgan


ich geb auf, ie ist der beste, sicherste und sowieso und überhaupt einzig wahre browser der weltgeschichte, jetzt und und in ewigkeit ... hab ich nie behauptet...nur dass er net der teufel in gestalt von software ist...


zu dem "hardcore" windowsuser, ich frag mich nur wieso ich privat kein windows nutze O.o

Original geschrieben von Gast
aber man darf auch nicht vergessen, dass besonders die m$ produkte ins visier genommen werden (da markführer). ...

Sehe ich nicht so. Der Apache-Webrowser führt mit deutlichen Abstand und trotzdem gab es nie derartige Sicherheitsprobleme wie bei Microsoft-Produkten. Und man sollte auch nicht vergessen, daß Webserver die ganze Zeit mit gleichbleibender IP-Adresse am I-Net hängen. Und ich glaube, viele haben Nimda vergessen bei dem der IIS das Opfer war.

Original geschrieben von Exxtreme
Sehe ich nicht so. Der Apache-Webrowser führt mit deutlichen Abstand und trotzdem gab es nie derartige Sicherheitsprobleme wie bei Microsoft-Produkten. Und man sollte auch nicht vergessen, daß Webserver die ganze Zeit mit gleichbleibender IP-Adresse am I-Net hängen. Und ich glaube, viele haben Nimda vergessen bei dem der IIS das Opfer war.

Das kannst du ja auch in keinster Weise vergleichen. Der Apache selbst ist nur ein reiner Webserver und läuft bei vielen 0815 Providern nur mit PHP Modul. Der IIS ist aber viel mehr ein Application Server, der generell zur Windows Server Infrastruktur gehört. Abgesehen davon hat der IIS eine viel ausgeklügeltere Rechteverwaltung / Sicherheitssystem. Man muss natürlich schon _Ahnung_ haben, wenn man so eine mächtige Software in die Hand bekommt.

Ps. Kennst du neben dem IE einen Webbrowser, der die User Credentials kryptografisch authentifiziert? Ich nicht... Mozilla und Konsorten können doch maximal Basic Authentification mit dem HTTP 1.1 Protokoll.

Original geschrieben von grakaman
Das kannst du ja auch in keinster Weise vergleichen. Der Apache selbst ist nur ein reiner Webserver und läuft bei vielen 0815 Providern nur mit PHP Modul. Der IIS ist aber viel mehr ein Application Server, der generell zur Windows Server Infrastruktur gehört. Abgesehen davon hat der IIS eine viel ausgeklügeltere Rechteverwaltung / Sicherheitssystem. Man muss natürlich schon _Ahnung_ haben, wenn man so eine mächtige Software in die Hand bekommt.
Natürlich kann man es vergleichen. Es mag schon sein, daß der IIS mehr als ein reiner Webserver ist. Aber Microsoft bewirbt ihn auch als Webserver und in diesem Bereich muss er sich der Konkurrenz wie dem Apache stellen.

Nimda hat eine Reihe von Sicherheits- und Konzeptlücken ausgenutzt. Normalerweise ist die Wahrscheinlichkeit, daß man solche Kette an Lücken mit einem Wurm ausnutzen kann, verschwindend gering.

Ich rede zwar nicht alle Produkte von MS schlecht (Encarta Win2k und MSSQL-Server finde ich z.B. gut), aber es wäre IMHO das Beste für alle Beteiligten, wenn man mit Produkten von Microsoft, das Internet vorerst nicht nutzen würde.
Original geschrieben von grakaman
Ps. Kennst du neben dem IE einen Webbrowser, der die User Credentials kryptografisch authentifiziert? Ich nicht... Mozilla und Konsorten können doch maximal Basic Authentification mit dem HTTP 1.1 Protokoll.
Tja, dafür kann der IE als als einziger halbwegs moderner Browser, keine Umlaute bei Domänennamen.

Original geschrieben von Exxtreme
Nimda hat eine Reihe von Sicherheits- und Konzeptlücken ausgenutzt. Normalerweise ist die Wahrscheinlichkeit, daß man solche Kette an Lücken mit einem Wurm ausnutzen kann, verschwindend gering.

Nimda hat _eine_ Lücke ausgenutzt, für die es seit mindestens einem halben Jahr einen Fix gab, der von MS als kritisch eingestuft wurde.

Original geschrieben von Steel
Nimda hat _eine_ Lücke ausgenutzt, für die es seit mindestens einem halben Jahr einen Fix gab, der von MS als kritisch eingestuft wurde.
Nimda hat sich auch über OE verbreitet, durch das "Feature" des damaligen IE, daß Dateien mit bekannten Anhängen automatisch geöffnet wurden. Bitte das auch nicht vergessen. So hat sich das Teil über den IE ins OE eingenistet und sich weiter verbreitet.

Gut, eine Reihe von Lücken ist übertrieben.

Ist schon ein offizielles Releasedatum für SP2 bekannt?
Wahrscheinlich wird HL2 deshalb wieder um ein halbes Jahr verschoben... danke ms... :D

Ist denn das NX- Feature eigentlich immer an, ohne dass man es deaktivieren könnte?? So könnte man doch den Problemen zumindest behilfsmäßig aus dem Weg gehen. Oder geht das nicht?

Original geschrieben von MechWOLLIer
Ist denn das NX- Feature eigentlich immer an, ohne dass man es deaktivieren könnte?? So könnte man doch den Problemen zumindest behilfsmäßig aus dem Weg gehen. Oder geht das nicht?
Ich denke nicht, dass das NX-Bit das Problem ist.
Denn dann hätten ja nur Athlon 64 und Opteron Probleme.

Original geschrieben von HellHorse
Ich denke nicht, dass das NX-Bit das Problem ist.
Denn dann hätten ja nur Athlon 64 und Opteron Probleme.

doch so isses .. zitat 3dcnew: "wie gesagt immer nur bei NX-fähigen Prozessoren"
das sind aktuell nur die a64 (opteron nicht soweit ich wiess) und (vielleicht) intels prescott-core

Original geschrieben von 0711
und der ie ansich ist auch soooo schlecht...
*lol* - oder war das ernst gemeint?

- der IE hat keinen PopUp Blocker
- der IE hat keinen Werbefilter
- dafür hat er ActiveX

- keine png24 Unterstützung
- fehlerhaftes Box-Modell
- mangelhafte CSS Unterstützung
- fehlerhafter XHTML Support

zumindest die letzten vier sind eher unauffällig, aber dafür umso schwerwiegender, da sie die Webentwicklung erheblich bremsen.

... und html kann er auch nicht richtig

Original geschrieben von Kurgan
doch so isses .. zitat 3dcnew: "wie gesagt immer nur bei NX-fähigen Prozessoren"
das sind aktuell nur die a64 (opteron nicht soweit ich wiess) und (vielleicht) intels prescott-core
Im Aritkel von Infoworld steht nix dazu
http://www.infoworld.com/article/04/03/04/HNwindowsxpsp2_1.html

Bei HT4U steht:
http://www.hardtecs4u.com/?id=1078783746,60100,ht4u.php
Hauptverantwortlich für die Inkompatibilität besagter Programme dürfte die neue "Execution Protection" für diverse Speicherbereiche sein.

Interessant, der Itanium scheint auch NX-Bit zu haben:
http://msdn.microsoft.com/security/productinfo/XPSP2/memoryprotection/execprotection.aspx

Although the only processor families with Windows-compatible hardware support for execution protection that are currently shipping are the AMD K8 and the Intel Itanium processor families,

weiter steht

Application and driver developers should be aware of execution protection and the requirements of software running on a supporting platform. Applications that perform just-in-time (JIT) code generation or execute memory from the default process stack or heap should pay careful attention to execution protection requirements.


Microsoft is investigating methods to disable or enable execution protection on a per-application basis for 32-bit applications. 64-bit applications are expected to function with execution protection enabled by default.


This promotes good software engineering and best practices for application and driver developers.
...
Second, execution protection encourages good engineering and best practices for application and driver developers. Execution protection forces developers to avoid executing code out of data pages without explicitly marking the pages as executable.

Cool ist auch, wie die Erwartungen dämpft:

Execution protection is by no means a comprehensive defense against all viruses, worms and other malicious code. And although MSBlaster in its original form might have been less malicious, MSBlaster might have used a different exploit if all targeted systems supported execution protection and had a non-executable stack.


Scheint also wirklich das NX-Bit zu sein.


Hat noch viele andere lustige Sachen
http://msdn.microsoft.com/security/productinfo/xpsp2/emailhandling.aspx
Sagt das bestimmte Dateitpyen blocken BS ist (brauchte lange, bist man das geschnallt hat).
Dafür scheint es jetzt einfach mehr Warndialoge zu geben.

auweia ... ich glaub ich leg meinen urlaub in die ersten 4 wochen nach erscheinen des updates ... das wird sicher sehr sehr lustig werden :bonk:

Original geschrieben von Exxtreme
Nimda hat sich auch über OE verbreitet, durch das "Feature" des damaligen IE, daß Dateien mit bekannten Anhängen automatisch geöffnet wurden. Bitte das auch nicht vergessen. So hat sich das Teil über den IE ins OE eingenistet und sich weiter verbreitet.

Gut, eine Reihe von Lücken ist übertrieben.
Schön und gut - nur hat das nichts mit dem IIS zu tun.

uuuuuuuuaaaaaaaaaaaaaarrrrrrrrrrggggggggg.


kurgan, das is ja übel, hehehehe.:schmor:

Programme, die für die Microsoft Net's CLR geschrieben sind, werden mit SP2 weiterhin funktionieren.

MfG