home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / msie_5_0_setup_wizard.txt < prev    next >
Encoding:
Text File  |  1999-03-26  |  7.0 KB  |  178 lines
  1. Tue, 23 Mar 1999 11:41:24 +0200 
  2. Thor Kottelin <tkottelin@TERRANOVA.FI> 
  3. Windows NT BugTraq Mailing List <NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM> 
  4. Thor Kottelin <tkottelin@TERRANOVA.FI> 
  5. MSIE 5 installer disables screen saver 
  6.  
  7.  
  8. After running the MSIE 5 installation wizard ie5setup.exe on two separate 
  9. NT 4.0 SP4 machines - one Workstation, one Server - my screen saver (Logon 
  10. Screen Saver, password protected) no longer kicks in. The screen saver tab 
  11. in the Display control panel states "None". I have gone through the motions 
  12. twice, thus reproducing the problem on both systems. The screen saver selection
  13. seems to disappear when starting to download files, and on one occasion it 
  14. has reappeared after I cancelled the download immediately after starting it. 
  15.  
  16. This seems like a serious problem which could leave sensitive systems open 
  17. to console abuse. 
  18.  
  19. Thor 
  20.  
  21. -- tkottelin@terranova.fi 
  22.  
  23. --------------------------------------------------------------------------
  24.  
  25. Tue, 23 Mar 1999 12:02:19 +0200 
  26. Thor Kottelin <tkottelin@TERRANOVA.FI> 
  27. Windows NT BugTraq Mailing List <NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM> 
  28. Thor Kottelin <tkottelin@TERRANOVA.FI> 
  29. Re: MSIE 5 installer disables screen saver 
  30.  
  31.  
  32. Thor Kottelin wrote: 
  34. > After running the MSIE 5 installation wizard ie5setup.exe on two 
  35. > separate NT 4.0 SP4 machines - one Workstation, one Server - my screen 
  36. > saver (Logon Screen Saver, password protected) no longer kicks in. 
  37.  
  38. I finally managed to finalize the installation on one of the machines, the 
  39. Workstation. Before beginning the actual installation. I made sure the 
  40. screen saver was enabled. After starting the installer, i.e. while it was 
  41. running, the screen saver was again disabled. After the installer had 
  42. completed and I had rebooted the machine, the screen saver was back 
  43. though. It thus seems that this problem might be really relevant only 
  44. when the installation is aborted, such as when the installer is unable 
  45. to connect to the download sites. 
  46.   
  47. Thor 
  48.  
  49. -- tkottelin@terranova.fi 
  50.  
  51. --------------------------------------------------------------------------
  52.  
  53. Date: Tue, 23 Mar 1999 11:27:21 -0500
  54. From: Russ <Russ.Cooper@RC.ON.CA>
  55. To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
  56. Subject: Re: MSIE 5 installer disables screen saver
  57.  
  58. I just wanted to confirm Thor's observations. I have seen precisely the
  59. same behavior on my SP4 and SP5 machines. The screen saver (it doesn't
  60. matter which one you use) is disabled by the IE Setup Wizard as soon as
  61. you select which download server you are going to use. It stays disabled
  62. until the download completes, or, is canceled or aborted. Like Thor, I
  63. was attempting to download the files, not do an interactive installation
  64. (I don't know if that accounts for the one report I received saying it
  65. didn't happen on their SP4 box).
  66.  
  67. Dare I say that this is yet another example of a lack of thought by MS
  68. when it comes to IE and Servers? The list continues to grow. This gets
  69. added to;
  70.  
  71. - inability to install IE without VDOLive and Microsoft Music Control on
  72. a mission critical server.
  73. - inability to avoid rebooting to upgrade IE with an SP.
  74. - inability to avoid installing OE.
  75. - inability to simply upgrade the components already installed on a
  76. machine (like the NT SPs work).
  77.  
  78. Sure, IEAK can solve some of these problems, but the basic installation
  79. of IE itself should have these options included, IMNSHO.
  80.  
  81. Cheers,
  82. Russ - NTBugtraq moderator
  83.  
  84. --------------------------------------------------------------------------
  85.  
  86. Date: Tue, 23 Mar 1999 12:55:29 -0500
  87. From: Russ <Russ.Cooper@RC.ON.CA>
  88. To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
  89. Subject: Re: MSIE 5 installer disables screen saver
  90.  
  91. Correction, "IE 5.0 Setup Wizard also disables/pauses the Task Manager
  92. (if present)" should have read;
  93.  
  94. "IE 5.0 Setup Wizard also disables/pauses the Task Scheduler Service (if
  95. present)"
  96.  
  97. Apologies for any confusion.
  98.  
  99. Cheers,
  100. Russ - NTBugtraq moderator
  101.  
  102. -----Original Message-----
  103. >From: Russ [mailto:Russ.Cooper@RC.ON.CA]
  104. Sent: Tuesday, March 23, 1999 12:35 PM
  105. To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
  106. Subject: Re: MSIE 5 installer disables screen saver
  107.  
  108.  
  109. <tirade>
  110. I'm going to editorialize here for a moment, but I think this issue
  111. needs some emphasis.
  112.  
  113. Dimitry Andric <dim@xs4all.nl> reported that, in addition to the screen
  114. saver being disabled, IE 5.0 Setup Wizard also disables/pauses the Task
  115. Manager (if present).
  116.  
  117. Now this is some serious stuff here. There's nothing in the IE 5.0 Setup
  118. Wizard panels or help that indicates any of this is going to happen.
  119. <http://www.microsoft.com/windows/ie/download/instruct.htm> makes no
  120. mention of it either.
  121.  
  122. Let's put aside, for the moment, the idea of installing IE on a Server
  123. (since so many of you feel this is just a Bad Thing(tm) in the first
  124. place).
  125.  
  126. Instead, let's focus on the idea that a password protected screen saver
  127. may be part of a corporate security policy. The fact that a program, any
  128. program, would disable this for any reason, or any duration, without
  129. forewarning the user makes me think of a criminal act. MS is obviously
  130. doing this to ensure the fastest download possible, and that's a
  131. laudable goal, but not without informing the user that its going to
  132. happen.
  133.  
  134. Couple that with the disabling/pausing of the Task Manager, thereby
  135. causing scheduled jobs to be skipped (and who knows how critical those
  136. jobs might be), and you might come to the same conclusion as me. Namely,
  137. this isn't a benefit for the end user, its a benefit for Connexion or MS
  138. or whomever is trying to provide the download.
  139.  
  140. MS rides shotgun over the user's system, arbitrarily changing settings
  141. and disabling functions without informing the user. Now if I were doing
  142. an interactive installation, I might understand why some things need to
  143. be disabled in order for the installation to complete successfully (like
  144. it is with the installation of many services). But when all I'm trying
  145. to do is download the components for an installation later at a more
  146. appropriate time, why would I think anything would be stopped on my
  147. machine?
  148.  
  149. As Microsoft, and other vendors, move further towards on-line
  150. distribution of software components...this problem, if not rectified,
  151. will only become worse.
  152.  
  153. - If anything is going to alter my security policy, I should be asked
  154. first to confirm it should do so.
  155.  
  156. - If anything is going to disable/pause a service, I should be asked
  157. first to confirm it should do so.
  158.  
  159. Anything less is tantamount to a malicious act being performed on my
  160. machine, no different than a DoS invoked remotely by a malicious hacker.
  161. Strong words, I realize, but if their interest in getting me off of
  162. their download site as fast as possible overrides my interest in the
  163. operation of my system, you can bet my words are going to be strong!
  164.  
  165. They can talk all they want about the support issues surrounding the
  166. downloading of software, none of that gives them the right to alter my
  167. system's operational parameters without asking me first, especially when
  168. all I want to do is download files.
  169.  
  170. All they had to do was put up a big warning box that explained precisely
  171. what they were going to do to my system to effect a faster, more
  172. efficient, download. The fact they didn't is a big problem!
  173.  
  174. Cheers,
  175. Russ - NTBugtraq moderator
  176. </tirade>
  177.  
  178.