Nuovi bug per Internet Explorer

Alcuni bug hunter hanno individuato in Internet Explorer tre nuove vulnerabilità di sicurezza, di cui due considerate abbastanza rischiose. Al momento non ci sono patch

Roma - Nonostante in questo periodo i riflettori dei media fossero puntati su Firefox, i cacciatori di bug sembrano non aver distolto la propria attenzione da Internet Explorer. Il browser di casa Microsoft è infatti al centro di due nuovi advisory di sicurezza in cui si descrivono tre vulnerabilità non ancora corrette.

In questo bollettino Secunia spiega che le due falle più serie, classificate come "moderatamente critiche", "possono essere sfruttate, in combinazione, da un sito Web malevolo per indurre un utente a scaricare un file eseguibile malevolo mascherato da documento HTML". Entrambe le vulnerabilità interessano Internet Explorer 6.0, incluso il Service Pack 2 per Windows XP.

Il primo bug permette ad un sito malevolo di bypassare il controllo di sicurezza dell'SP2 sui tipi di file pericolosi, mentre il secondo consente di mascherare la vera estensione di un file (ma funziona solo se l'utente ha lasciato abilitata la funzione predefinita di Windows "Nascondi le estensioni per i tipi di file conosciuti"). La descrizione della prima vulnerabilità è simile a quella segnalata di recente da Finjan Software, la stessa società secondo cui nell'SP2 vi sarebbero 10 problemi di sicurezza. Per il momento non è dato sapere se le due falle sono effettivamente le stesse.
In attesa che Microsoft rilasci una patch, Secunia ha suggerito agli utenti di disabilitare l'Active Scripting di IE e l'opzione "Nascondi le estensioni per i tipi di file conosciuti" delle cartelle di Windows.

Una terza vulnerabilità minore, descritta qui, può invece essere utilizzata da un sito Web malevolo per sovrascrivere i cookie di altri siti: questo può tuttavia avvenire solo in alcune circostanze e funziona solo con le versioni di Windows XP prive dell'SP2.

Microsoft ha detto di essere al corrente di tali advisory e di stare investigando sui problemi segnalati. Il colosso non ha mancato di criticare la scelta degli scopritori dei tre bug di rilasciare i dettagli delle falle senza attendere la disponibilità delle relative patch.

Negli scorsi giorni George Stathakopoulos, director della product security di Microsoft, ha svelato che la propria azienda sta lavorando sull'ipotesi di allungare il ciclo di pubblicazione dei bollettini di sicurezza, portandolo da uno a sei mesi. Stathakopoulos afferma che ciò sarà possibile grazie all'elevata sicurezza che offrirebbero i più recenti software di Microsoft, incluso Windows XP SP2, in congiunzione con le ultime generazioni di processori dotati del supporto al bit No eXecute (NX).
TAG: microsoft
107 Commenti alla Notizia Nuovi bug per Internet Explorer
Ordina
  • a- nessun software è sicuro al 100%
    b- il problema non sono i bug fixati ma quelli non fixati e soprattutto il tempo di uscita dalla patch

    considerando il punto b ie e ff non si possono comparare ie ha moltissimi bug non fixati, ti criticità alta e l'uscita delle patch è molto in ritardo

    niente è sicuro a prescindere, ma c'è qualcuno che è più sicuro (o meno bucato se preferisci) di altri
    non+autenticato
  • per ora il verbo dev'essere "era" e non "è"
    se guardi di fianco ad ogni vulnerabilità noterai la colonna "Date Fixed" ed è sempre valorizzata...
    non+autenticato
  • 1) Non ci sono vulnerabilità della versione 1.0 per il momento.

    2) Le POCHE e POCO GRAVI vulnerabilità sofferte dalla 0.x (che era beta come noto) sono state sempre risolte TUTTE e VELOCEMENTE.

    Se sei una persona intelligente capirai da solo che il vero vantaggio di usare Firefox non sta nel primo punto ma nel secondo.
    non+autenticato
  • "Negli scorsi giorni George Stathakopoulos, director della product security di Microsoft, ha svelato che la propria azienda sta lavorando sull'ipotesi di allungare il ciclo di pubblicazione dei bollettini di sicurezza, portandolo da uno a sei mesi. Stathakopoulos afferma che ciò sarà possibile grazie all'elevata sicurezza che offrirebbero i più recenti software di Microsoft, incluso Windows XP SP2, in congiunzione con le ultime generazioni di processori dotati del supporto al bit No eXecute (NX)."

    Beh... 6 mesi mi sembrano veramente troppi. Capisco che l'uso delle NX possa rendere difficile (ma non impedire in modo assoluto) lo sfruttamento di bachi di sicurezza... ma che si fa? si obbliga tutti quanti a cambiare processore? Io ho macchine che non hanno l'NX e non ho alcuna intenzione di cambiarle ora...
  • - Scritto da: BlueSky
    > "Negli scorsi giorni George Stathakopoulos,
    > director della product security di
    > Microsoft, ha svelato che la propria azienda
    > sta lavorando sull'ipotesi di allungare il
    > ciclo di pubblicazione dei bollettini di
    > sicurezza, portandolo da uno a sei mesi.
    > Stathakopoulos afferma che ciò
    > sarà possibile grazie all'elevata
    > sicurezza che offrirebbero i più
    > recenti software di Microsoft, incluso
    > Windows XP SP2, in congiunzione con le
    > ultime generazioni di processori dotati del
    > supporto al bit No eXecute (NX)."
    >
    > Beh... 6 mesi mi sembrano veramente troppi.
    > Capisco che l'uso delle NX possa rendere
    > difficile (ma non impedire in modo assoluto)
    > lo sfruttamento di bachi di sicurezza... ma
    > che si fa? si obbliga tutti quanti a
    > cambiare processore? Io ho macchine che non
    > hanno l'NX e non ho alcuna intenzione di
    > cambiarle ora...

    Che dire, spero proprio che lo facciano, cosi' la spinta per creare / usare alternative sara piu' alta.
    non+autenticato
  • > Beh... 6 mesi mi sembrano veramente troppi.
    > Capisco che l'uso delle NX possa rendere
    > difficile (ma non impedire in modo assoluto)
    > lo sfruttamento di bachi di sicurezza... ma
    > che si fa? si obbliga tutti quanti a
    > cambiare processore? Io ho macchine che non
    > hanno l'NX e non ho alcuna intenzione di
    > cambiarle ora...

    fra l'altro la tecnologia NX potrebbe essere tranquillamente usata sugli attuali processori, basterebbe usare i registri normali. Che bisogno c'è di mettere in ballo nuovi registri macchina?
    Mah.
    non+autenticato
  • non fanno piu' notizia,

    Scoperto bug in windows, scoperto bug in Explorer, sai che novita'
    non+autenticato

  • - Scritto da: Anonimo
    > non fanno piu' notizia,
    >
    > Scoperto bug in windows, scoperto bug in
    > Explorer, sai che novita'

    dovrebbero fare un contatore tipo "senza trovare nuovi bug da 14 ore e 3 minuti"
  • ... sono Wintra$h(il buco con il sw intorno)e Guglielmo Cancelli che non poteva creare niente di peggiore
    Fan LinuxFan Apple
    firmato
    /bin/bash
    non+autenticato

  • - Scritto da: Anonimo
    > ... sono Wintra$h(il buco con il sw
    > intorno)e Guglielmo Cancelli che non poteva
    > creare niente di peggiore
    > Fan LinuxFan Apple
    > firmato
    > /bin/bash


    Come sei MONOTONO A bocca storta

    cambia disco, di qualcosa di diverso, sembri un disco rotto
    e ci stai triturando le palle
    non+autenticato
  • ecco il Troll di turno...
    sono d'accordo con te sull'autore del post,ma bisogna riconoscere la mediocrità del sw microsoft...
    non+autenticato

  • - Scritto da: Anonimo
    > ecco il Troll di turno...
    > sono d'accordo con te sull'autore del
    > post,ma bisogna riconoscere la
    > mediocrità del sw microsoft...

    In questo forum
    argomentazioni... ci vogliono argomentazioni e confronti,
    altrimenti sono solo parole..

    Io non sono un'esperta ma 1+1 fa due e penso che i bug di microsoft vengono scoperti perchè è nell'occhio del ciclone dei cacciatori che stanno facendo un gran favore allo zio Bill. Spero tanto che tale puntigliosa "TAC" sia fatta anche agli altri sistemi per poter scegliere con convinzione e non per cameratismo.

    CiaoSorride
    non+autenticato
  • "per convinzione "
    non+autenticato
  • magari scegliessero tutti per convinzione...
    tuttavia non sono d'accordo che scoprendo i bachi di win si faccia un piacere a Bill Gates,anzi nella maggior parte dei casi è il contrario,così come è vero che i sistemi open source siano più sicuri.
    sinceramente io ho scelto linux per poter avere un maggiore controllo su quello che faccio andando magari a modificare il file di sistema a mano quando installo i driver della mia scheda video,o per poter ricompilare il kernel in base alle mie esigenze,ad esempio.
    poi sono fatti tuoi,senza offesa ok?
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Spero tanto
    > che tale puntigliosa "TAC" sia fatta anche
    > agli altri sistemi per poter scegliere con
    > convinzione e non per cameratismo.
    >
    > CiaoSorride

    //Sarcasmo

    Vatti a comprare un portatile, dopodichè scegli per convinzione quale OS utilizzare sul TUO computer.
    Ah... attenzione. Se installi qualsiasi OS che non sia il Windows Home Ed. (ovvero lo scarto di Microsoft) fornito col portatile, la garanzia ti viene a cadere... anche per problemi fisici !
    Evviva la libertà di sceltaSorride
    non+autenticato

  • - >
    > //Sarcasmo
    >
    > Vatti a comprare un portatile,
    > dopodichè scegli per convinzione
    > quale OS utilizzare sul TUO computer.
    > Ah... attenzione. Se installi qualsiasi OS
    > che non sia il Windows Home Ed. (ovvero lo
    > scarto di Microsoft) fornito col portatile,
    > la garanzia ti viene a cadere... anche per
    > problemi fisici !
    > Evviva la libertà di sceltaSorride


    Sincerametne questo non lo sapevo.Triste
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - >
    > > //Sarcasmo
    > >
    > > Vatti a comprare un portatile,
    > > dopodichè scegli per convinzione
    > > quale OS utilizzare sul TUO computer.
    > > Ah... attenzione. Se installi qualsiasi
    > OS
    > > che non sia il Windows Home Ed. (ovvero
    > lo
    > > scarto di Microsoft) fornito col
    > portatile,
    > > la garanzia ti viene a cadere... anche
    > per
    > > problemi fisici !
    > > Evviva la libertà di sceltaSorride
    >
    >
    > Sincerametne questo non lo sapevo.Triste

    infatti nn è vero.....
    non+autenticato
  • Sarebbero ancora più efficienti .....senza gli strapagati programmatori Microsoft ! Sorpresa
    non+autenticato
  • > Sarebbero ancora più efficienti
    > .....senza gli strapagati programmatori
    > Microsoft ! Sorpresa

    Se fossero strapagati Bill Gates non sarebbe cosi' riccoTriste
    non+autenticato
  • e loro non sarebbero così incompetenti...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)