Internet Explorer digerisce i biscotti

Arriva il cerottone per una falla per la quale Microsoft aveva dovuto dare istruzioni cautelative. Ecco i dettagli

Web - Microsoft ha approntato il cerottone con cui intende consentire agli utenti del suo browser Internet Explorer di proteggersi contro una vulnerabilità che ha a che fare con i cookie.

Come si ricorderà, nei giorni scorsi Microsoft aveva dovuto annunciare l'esistenza di un buco nelle ultime versioni del browser dell'azienda, Internet Explorer. Un buco che mette a rischio i cookie, i file di dati utilizzati da molti siti per i propri servizi online che vengono "infilati" sui computer degli utenti. La falla consente, in certe condizioni, di leggere il contenuto dei cookie o di modificarli. Il buco riguarda Internet Explorer 5.5 e Internet Explorer 6.0.

La vulnerabilità era stata pubblicata da Online Solutions, un'azienda di sicurezza finlandese che aveva deciso di parlarne prima che Microsoft completasse lo sviluppo della patch.
Il cerotto ora impedisce ad un sito web ostile di ottenere dal computer dell'utente, attraverso i cookie, informazioni che potrebbero essere estremamente riservate.

Secondo il bollettino di sicurezza Microsoft, comunque, la nuova patch risolve una serie di piccoli problemi oltre a tamponare il bug. In particolare, verrebbero superate due vulnerabilità che in condizioni diverse potrebbero consentire l'utilizzo di una certa URL per rubare informazioni dai cookie e una terza che riguarda la gestione che Internet Explorer fa di URL che includono indirizzi IP senza punti. Una gestione che se non patchata, potrebbe portare all'apertura di un sito in zona intranet anziché in zona internet e dunque con potenzialmente minori sicurezze (una vulnerabilità, questa, che non riguarda IE 6).

Per scaricare la patch clicca qui.
TAG: microsoft
19 Commenti alla Notizia Internet Explorer digerisce i biscotti
Ordina


  • c'è anche in italiano.

    [21-11-2001]
    non+autenticato
  • Curiosando un po' nel codice html e facendo qualche tentativo ho scovato i link alle patch italiane:

    per IE6.0 italiano
    http://download.microsoft.com/download/IE60/secpac...

    per IE5.5SP2 italiano
    http://download.microsoft.com/download/ie55sp2/sec...

    Non so dirvi se non appaiono in elenco per dimenticanza o perché sono delle beta... fate voi.
    non+autenticato
  • Come sopra, qualcuno sa se è già disponibile?
    non+autenticato


  • ma hai guardato, prima di chiedere?

    - Scritto da: Aleksandr Nevskij
    > Come sopra, qualcuno sa se è già disponibile?
    non+autenticato


  • no, italiana (20-11-2001 ore 8.58) non è disponibile.

    Ci sono invece


    English</option>
    Arabic</option>
    Chinese (Simplified)</option>
    Chinese (Traditional)</option>
    French</option>
    German</option>
    Hebrew</option>
    Japanese</option>
    Korean</option>
    Spanish</option>

    - Scritto da: Aleksandr Nevskij
    > Come sopra, qualcuno sa se è già disponibile?
    non+autenticato
  • Lo scarichi da qui:
    http://download.microsoft.com/download/IE60/secpac...

    - Scritto da: Orsudunquevisitiamoisiti
    >
    >
    > no, italiana (20-11-2001 ore 8.58) non è
    > disponibile.
    >
    > Ci sono invece
    >
    >
    > English</option>
    > Arabic</option>
    > Chinese (Simplified)</option>
    > Chinese (Traditional)</option>
    > French</option>
    > German</option>
    > Hebrew</option>
    > Japanese</option>
    > Korean</option>
    > Spanish</option>
    >
    > - Scritto da: Aleksandr Nevskij
    > > Come sopra, qualcuno sa se è già
    > disponibile?
    non+autenticato
  • "..il cerotto ora impedisce ad un sito web ostile di ottenere dal computer dell'utente, attraverso i cookie, informazioni che potrebbero essere estremamente riservate..."

    Estremamente riservate? Mi sembra un po' esagerata come affermazione. Cosa mai puo' contenere un cookie di estremamente riservato? O mi sono perso qualcosa (in tal caso qualcuno esperto potrebbe delucidarmi in merito), oppure i cookie contengono si' delle informazioni riservate, non per l'utente, ma per qualcun altro (Echelon? Agenzie pubblicitarie? Agenzie di sondaggi e statistiche? Spammatori senza scrupoli? Boh fate voi)!!!

    Figurati se uno tiene informazioni riservate su un pc collegato ad internet. Sarebbe un bel fesso veramente, oppure un ignorante che e' la stessa cosa ma fa piu' figo.
    non+autenticato
  • ...forse ti e' sfuggito qualcosa...

    1) Ti manca un po' di modestia. Se non sai di cosa stai parlando non offendere, che poi qualcuno offende te e non la finiamo piu'.Sorride

    2) Quando fai ti registri presso un sito, spesso e volentieri, c'e' un bel bottoncino che ti dice: Riconoscimento automatico utente" quel bottoncino, ti spara un bel coockie che contiene il tuo user e la tua password per accedere a quel sito. Un esempio banale? un sito che ti permette di leggere la tua posta elettronica online! Non so per te, ma io considero la mia posta elettronica documenti riservati ed importantissimi!

    3) Quello riportato al punto 2 e' solo uno dei millle esempi che si possono fare.

    4) Mandi fruts

    non+autenticato
  • Ti faccio un esempio banalissimo di estrememamente riservato: se usi un servizio on-line banking, spesso e volentieri lo username viene salvato in un cookie (questo e' il caso della BarclayCard inglese).

    Come vedi, ci sono persone che usano anche internet x fare qualcosa di serio e non solo x navigare...
    non+autenticato


  • - Scritto da: Utente riservato
    > "..il cerotto ora impedisce ad un sito web
    > ostile di ottenere dal computer dell'utente,
    > attraverso i cookie, informazioni che
    > potrebbero essere estremamente riservate..."
    >

    Riporto dall'annuncio del buco:
    "Stando ad un bollettino di sicurezza della stessa Microsoft, esiste una vulnerabilità perché è possibile costruire una URL che può consentire ai siti che la utilizzano di accedere ai cookie dei propri utenti ed eventualmente agire sui contenuti. Poiché ci sono siti che nei cookie infilano informazioni personali importanti, spiega Microsoft, ne consegue un rischio per la sicurezza delle informazioni personali contenute in quei file."

    > Estremamente riservate? Mi sembra un po'
    > esagerata come affermazione. Cosa mai puo'
    > contenere un cookie di estremamente
    > riservato? O mi sono perso qualcosa (in tal
    > caso qualcuno esperto potrebbe delucidarmi
    > in merito), oppure i cookie contengono si'
    > delle informazioni riservate, non per
    > l'utente, ma per qualcun altro (Echelon?
    > Agenzie pubblicitarie? Agenzie di sondaggi e
    > statistiche? Spammatori senza scrupoli? Boh
    > fate voi)!!!

    Beh, personalmente ritengo che anche la mia rubrica della posta sia estremamente riservata.

    > Figurati se uno tiene informazioni riservate
    > su un pc collegato ad internet. Sarebbe un
    > bel fesso veramente, oppure un ignorante che
    > e' la stessa cosa ma fa piu' figo.

    Come sopra.
    Nelle aziende e' meglio staccare i PC dalla rete? Oppure ogni dipendente dovrebbe avere due PC, uno connesso a internet e uno per le informazioni riservate staccato da qualsiasi cosa?
    E a casa? In uno tengo i conti di casa e ne tengo un'altro per collegarmi a internet?
    ...e cosi' via.
    non+autenticato


  • - Scritto da: Utente riservato
    > "..il cerotto ora impedisce ad un sito web
    > ostile di ottenere dal computer dell'utente,
    > attraverso i cookie, informazioni che
    > potrebbero essere estremamente riservate..."
    >
    > Mah! io di certo non sarò Mata Hari, ancora non lavoro col pc (perché non sono ancora laureata) quindi non potrei avere un danno economico in tal senso....quindi cosa possono farmi se entrano nel mio pc e leggono i biscottini che ci sono, anche se io non li ho mai chiesti?
    non+autenticato
  • - Scritto da: lullaby

    > > Mah! io di certo non sarò Mata Hari,
    > ancora non lavoro col pc (perché non sono
    > ancora laureata) quindi non potrei avere un
    > danno economico in tal senso....quindi cosa
    > possono farmi se entrano nel mio pc e
    > leggono i biscottini che ci sono, anche se
    > io non li ho mai chiesti?

    beh sulla faccenda dei cookie in particolare, al momento non mi vengono in mente esempi drammatici, ma penso che gia' il caso seguente potresti considerarlo un danno:

    supponiamo che il signor Michael Mattone abbia qualcosa contro di te, e tenta e ritenta riesca a leggere le tue informazioni di utente registrata presso un forum... potrebbe farsi passare per te ed impestare il forum cercando di screditarti...

    certo, se la cosa diventa seria e parte un'indagine, si puo' risalire all'ip dello scrivente, ma magari si puo' cercare di falsificare anche quello, ma in ogni caso, per gettare un po' di fango sull'innocente basterebbe poco, e si sa, quel tipo di fango non va mai via, specie se in puro stile giornalistico, le cantonate a 9 colonne vengono smentite con un trafiletto, ma sto divagando...Sorride
    non+autenticato


  • - Scritto da: KaysiX
    > - Scritto da: lullaby
    >
    > > > Mah! io di certo non sarò Mata Hari,
    > > ancora non lavoro col pc (perché non sono
    > > ancora laureata) quindi non potrei avere
    > un
    > > danno economico in tal senso....quindi
    > cosa
    > > possono farmi se entrano nel mio pc e
    > > leggono i biscottini che ci sono, anche se
    > > io non li ho mai chiesti?
    >
    > beh sulla faccenda dei cookie in
    > particolare, al momento non mi vengono in
    > mente esempi drammatici, ma penso che gia'
    > il caso seguente potresti considerarlo un
    > danno:
    >
    > supponiamo che il signor Michael Mattone
    > abbia qualcosa contro di te, e tenta e
    > ritenta riesca a leggere le tue informazioni
    > di utente registrata presso un forum...
    > potrebbe farsi passare per te ed impestare
    > il forum cercando di screditarti...
    >
    > certo, se la cosa diventa seria e parte
    > un'indagine, si puo' risalire all'ip dello
    > scrivente, ma magari si puo' cercare di
    > falsificare anche quello, ma in ogni caso,
    > per gettare un po' di fango sull'innocente
    > basterebbe poco, e si sa, quel tipo di fango
    > non va mai via, specie se in puro stile
    > giornalistico, le cantonate a 9 colonne
    > vengono smentite con un trafiletto, ma sto
    > divagando...Sorride


    Effettivamente non mi farebbe piacere, ma tant'è.....
    non+autenticato
  • Allora mi incerotto anche io???? Triste(((
    non+autenticato
  • - Scritto da: lullaby
    > Allora mi incerotto anche io???? Triste(((

    beh se la patch e' ben fatta, IMHO hai solo da guadagnarci ad "incerottarti"Sorride

    vedi, questo discorso mi fa pensare a quello sul furto di identita' ed a quanto molti sottovalutino/ignorino il problema quando e' applicato alla rete...

    "perche' dovrei usare una password complicata? tanto sul mio account non c'e' nulla di importante..."

    eppure uno dei beni fondamentali collegati al nostro accesso e' la nostra stessa identita'... se il malintenzionato riesce a bucare il mio account e farsi passare per me con pieno accesso in rete, non solo su un forum grazie ad un cookie decrittato, il colpevole di tutte le misfatte sembrero' io, e qui spesso la cosa si fa molto piu' grave dell'esempio precedente...

    a riguardo pero' non c'e' opera di sensibilizzazione, o quanto meno, la maggior parte dell'utenza non ha ancora conosciuto/recepito il problema, eppure per ognuno di noi e' naturale denunciare immediatamente alle autorita' il furto della propria carta d'identita'...

    ok, ok, scantono sempre piu'... la prossima volta firmo come Dottor Divago...
    non+autenticato

  • Giusto per dire la mia...
    Le info nei cookie sono tutte criptate.

    Se fatte bene (non ci vuole nulla) ai voglia a decriptarle!
    non+autenticato


  • - Scritto da: x - :
    >
    > Giusto per dire la mia...
    > Le info nei cookie sono tutte criptate.
    >
    > Se fatte bene (non ci vuole nulla) ai voglia
    > a decriptarle!
    Che siano criptate lo vedo da me!!! Ma, una volta che le hai decriptate, che te ne fai?
    Te ne mando una a titolo di esempio???
    ;))
    non+autenticato