Bug in IE, documenti a rischio

Guninski avverte di un nuovo baco del browser Microsoft, che potrebbe consentire ad un cracker di leggere certi file sui PC degli utenti

Web - Il cacciatore di bachi Georgi Guninski ha scoperto un altro bug di Internet Explorer che potrebbe consentire ad un cracker di leggere da remoto il contenuto di documenti archiviati sul PC di un utente.

La vulnerabilitÓ, correlata e molto simile ad una giÓ scoperta da Guninski nel settembre del 2000, affliggerebbe tutte le versioni di IE 6.0 e la versione per Windows 2000 di IE 5.5. Guninski sostiene che il bug potrebbe interessare anche altre versioni non testate del browser.

Stando al bollettino di sicurezza pubblicato dal bug hunter bulgaro, la nuova falla si rivelerebbe attraverso la funzione "GetObject()" di JScript (la versione di JavaScript di Microsoft) in combinazione con l'oggetto ActiveX "htmlfile".
Similmente a quanto succedeva con la vecchia vulnerabilitÓ, Guninski sostiene che la nuova falla permette ad un programmatore di passare alla funzione GetObject il nome ed il percorso di un documento situato sul PC di un utente e leggerne il contenuto.

A mitigare la pericolositÓ di questo bug interverrebbe il fatto che l'assalitore deve prima indurre l'utente a visitare le proprie pagine web e deve giÓ conoscere il nome e la posizione del file da leggere. Pare inoltre che lo script utilizzato per sfruttare la vulnerabilitÓ non possa essere utilizzato per confezionare e-mail aggressive.

Guninski, che in passato Ŕ stato pi¨ volte criticato da Microsoft per la sua estrema solerzia nel divulgare al grande pubblico falle ed exploit, sostiene di aver avvisato il big di Redmond dell'esistenza del bug l'11 dicembre scorso.

"Hanno avuto tre settimane per creare una patch, ma non l'hanno fatto", ha concluso l'esperto nel proprio bollettino di sicurezza.
TAG: microsoft
41 Commenti alla Notizia Bug in IE, documenti a rischio
Ordina
  • Come sempre, m$ non se la cava a fare un programma che tenga...inutile, bisogna passare a qualche altro browser....
    si', ma quale? la concorrenza non c'e' piu', fra
    netscape che e' di AOL e' (forse) non verra' piu' relasato per i normali utenti (cioe' i non AOL) e Opera che e' ancora fiacca...
    Ma c'e' sempre MOZILLA che funge bene....!!!
    non+autenticato
  • Instant messaging, porte aperte agli hacker

    Il programma di messaggistica istantanea di Aol Time Warner, usato da milioni di persone, ha una falla che può spalancare agli hacker l?accesso ai computer di mezzo mondo.

    http://www.ilnuovo.it/nuovo/foglia/0,1007,97292,00...

    Certo che no, fanno notizia solo i bug di MS Internet Explorer, che sciocco...
    non+autenticato


  • - Scritto da: Edo
    > Instant messaging, porte aperte agli hacker
    >
    > Il programma di messaggistica istantanea di
    > Aol Time Warner, usato da milioni di
    > persone, ha una falla che può spalancare
    > agli hacker l?accesso ai computer di mezzo
    > mondo.
    >
    > http://www.ilnuovo.it/nuovo/foglia/0,1007,972
    >
    > Certo che no, fanno notizia solo i bug di MS
    > Internet Explorer, che sciocco...
    forse perche' un bug di un browser usato dal 90% (la butto li' non ho statistiche alla mano:) degli utenti internet ha un impatto un attimino maggiore di quello che puo' avere il bug di cui parli?
    Inoltre ti pregherei di non usare il termine hacker (in merito al quale ti rimando alla definizione che da' il jargon)in maniera impropria.
    non+autenticato
  • Senz'altro peché in Italia il messanger di AOL è usato si e no da 10-15mila utenti al massimo...

    Milioni invece usano l'MSN....

    Fossero almeno compatibili tra loro... macché!

    Avevo visto quello di AOL ma poi nessuno ce lo aveva e alla fine ho installato il messanger di zio bill.

    Ciz
    non+autenticato


  • - Scritto da: cdr
    > Senz'altro peché in Italia il messanger di
    > AOL è usato si e no da 10-15mila utenti al
    > massimo...
    >
    > Milioni invece usano l'MSN....
    >
    > Fossero almeno compatibili tra loro...
    > macché!
    >
    > Avevo visto quello di AOL ma poi nessuno ce
    > lo aveva e alla fine ho installato il
    > messanger di zio bill.
    >
    > Ciz

    Allora non lamentiamoci, teniamoci quello di zio Bill, con i pro e i contro!
    non+autenticato
  • Veramente ieri la notizia di PI prima di questa (quindi ancor più in rilievo) era proprio sul buco di AOL... Stai pur certo che ha molto più rilevanza che l'abbia pubblicata un colosso dell'informazione settoriale come PI che quel foglietto de IlNuovo... Occhiolino

    - Scritto da: Edo
    > Instant messaging, porte aperte agli hacker
    >
    > Il programma di messaggistica istantanea di
    > Aol Time Warner, usato da milioni di
    > persone, ha una falla che può spalancare
    > agli hacker l?accesso ai computer di mezzo
    > mondo.
    >
    > http://www.ilnuovo.it/nuovo/foglia/0,1007,972
    >
    > Certo che no, fanno notizia solo i bug di MS
    > Internet Explorer, che sciocco...
    non+autenticato


  • - Scritto da: Chichibio
    > Veramente ieri la notizia di PI prima di
    > questa (quindi ancor più in rilievo) era
    > proprio sul buco di AOL... Stai pur certo
    > che ha molto più rilevanza che l'abbia
    > pubblicata un colosso dell'informazione
    > settoriale come PI che quel foglietto de
    > IlNuovo... Occhiolino

    E come mai già è scomparsa dal forum?
    Perché "non" ha fatto notizia...
    Come mai stiamo qui a scrivere sul bug di IE?
    Perché ha fatto notizia...
    A questo mi riferisco!
    La mia intenzione non era mica di fare discriminazioni, come hai fatto tu!
    Volevo solo spiegare a quelli che esultano quando IE ha i bug, che non è l'unico...
    Però loro non si arrabiano quando viene scoperto un bug su altri programmi, si arrabbianno solo quando i bug ci sono sui programmi per utonti, come loro amano chiamare gli utenti di Windows!
    E anche qui avrei da fare un'osservazione.
    Un programma quanto più è complesso, ricco di funzioni e facile da usare, tanto più ha la probabilità di contenere bug. Viceversa, più è essenziale e meno bug contiene. Perciò i programmi "essenziali e spartani" nell'interfaccia utente e nelle funzioni sono più stabili. Vedi Unix, Linux....
    Cordialmente.
    non+autenticato

  • Hai letto Chichibio?

    Tanto per chiarire l'equivoco.
    non+autenticato
  • - Scritto da: Edo
    > E come mai già è scomparsa dal forum?
    > Perché "non" ha fatto notizia...
    > Come mai stiamo qui a scrivere sul bug di IE?
    > Perché ha fatto notizia...

    semplicemente perche' punto informatico e' una e-rivista italiana, che viene quindi letta in prevalenza da italiani. Dal momento che AOL e' un provider americano, grande quanto vuoi, ma che opera in america, non credo che molti italiani facciano uso di AIM.
    Se uscisse un baco sul clienti di C6 di tin, pensi che agli americani interesserebbe qualcosa ?

    Al contrario IE lo usate tutti... (e mi chiedo sempre piu' spesso con quale coraggio)

    > A questo mi riferisco!
    > La mia intenzione non era mica di fare
    > discriminazioni, come hai fatto tu!
    > Volevo solo spiegare a quelli che esultano
    > quando IE ha i bug, che non è l'unico...
    > Però loro non si arrabiano quando viene
    > scoperto un bug su altri programmi, si
    > arrabbianno solo quando i bug ci sono sui
    > programmi per utonti, come loro amano
    > chiamare gli utenti di Windows!

    non tutti, ma la maggior parte non puoi negare che non siano capaci di distinguere un'applicazione da un documento. Una volta mi sono sentito chiedere, mentre spiegavo come aprire un'immagine ad un tizio su irc, "che cos'e' il menu' avvio ?"
    Come se avessi la patente e non sapessi dov'e' la frizione.

    > E anche qui avrei da fare un'osservazione.
    > Un programma quanto più è complesso, ricco
    > di funzioni e facile da usare, tanto più ha
    > la probabilità di contenere bug. Viceversa,
    > più è essenziale e meno bug contiene.

    ottima osservazione... e allora per quale motivo riempire i programmi di stronzate assolutamente inutili per la maggior parte della gente ? non mi dirai che nella tua vita hai usato tutte le feature di office, vero? probabilmente non le conoscono nemmeno i software designer alla microsoft...
    Inoltre c'e' un difetto di fondo nell'architettura implementativa, e una forzata tendenza a voler far sembrare semplice anche cose che non lo sono e non lo devono essere affatto, perche' richiedono necessariamente che tu sappia cosa stai facendo e a quali rischi vai incontro. Molta, troppa gente vuole che il pc ragioni per loro, e non applica 5 minuti della propria esistenza nemmeno per capire cosa sta facendo.
    Ma d'altro canto... perche' meravigliarsi... c'e' gente in seconda superiore che non sa risolvere un'equazione di primo grado.

    ma tanto... a che serve... che mathematica che ti da' il risultato.

    > Perciò
    > i programmi "essenziali e spartani"
    > nell'interfaccia utente e nelle funzioni
    > sono più stabili. Vedi Unix, Linux....

    sinceramente non credo che la sicurezza di un software stia tutta nell'interfaccia utente... anzi. L'interfaccia e', a occhio e croce, il 10% di un'applicazione, forse meno.
    Per quanto riguarda le funzioni, posso portarti migliaia di esempi di software pieni di funzioni che non presentano problemi. Il trucco e' lavorare per tasselli, produrre componenti che facciano una cosa e la facciano bene, e che siano facilmente gestibili in modo uniforme e leggibile... cosa che a quanto pare non sia di casa a redmond.

    non+autenticato

  • presto riceverà un viaggio premio negli usa
    oppure verrà invitato (a spese altrui) a visitare gli usa...

    Annoiato
    non+autenticato
  • esiste un manuale con comandi e sintassi
    di javascript, jscript ecc
    ....
    che indichi però lo standard?
    Sorride

    lo so lo so...

    ma fate quello che potete


    (magari ON LINE?????)
    non+autenticato
  • e poi ci si lamenta che "il sito non si vede con Netscape"... :-/
    Trovi le specifiche _standard_ qui:
    http://www.ecma.ch/ecma1/STAND/ECMA-262.HTM
    non+autenticato
  • ahahahah ma non e' possibile questo browser ha piu' bug che righe di codice, neanche sendmail e' mai stato cosi' buggato, io non oso pensare a come lo abbiano codato (coi piedi, mentre guardavano buona domenica in tv e contemporaneamente si facevano un cannone di 2 metri)
    non+autenticato
  • Cmq Sendmail sono anni che non registra un tasso di bug (N░ bug/periodo di tempo) a questo livello, IE ha avuto più anni di Sendmail per maturare in tal senzo, ma non l'ha mai fatto (o meglio non l'hanno fatto i programmatori)!
    Possiamo scommettere se IE supererà in bug quasi sicuramente iis, e la cosa è molto difficile, ma vi sono buone probabilità che riesca.
    La cosa più importante da notare, invece, è la frase finale della notizia: M$ non si smentisce, e pur avendo i prodotti che registrano il maggior tasso di bug (N░ bug per quantità di sw); pretende che non si divulgano i bug dei suoi prodotti.
    Scommettiamo che se non erano cosi bug-ati non avrebbe fatto simili richieste?
    La cosa più importante è difendere, invece, questo modello di sicurezza, in cui si viene avvertiti dei bug da chi li scopre.
    Poi, non c'è davvero bisogno di concedere ad M$ quello che non sempre si concede a Linux e altri quando viene scoperto un bug: cioè il periodo di tempo.
    Come per gli altri o.s. anche per o.s. M$ e relativi prodotti, il tempo della loro divulgazione può essere accorciato ed essere anche immediato se occorre.
    Non bisogna farsi intimorire dalle minacce velate di M$, altrimenti gli e la si dà vinta.
    Va ricordato prima che altri lo faccino cmq, a dover di cronaca, che questo bug è veramente poco importante; quel che emerge è invece che IE sta diventando insieme a iis ed outlook uno dei prodotti più bug-ati della storia moderna dell'informatica.
    non+autenticato
  • si ho buttato li' l'esempio di sendmail perche' e' il primo software non M$ abbastanza buggato che mi e' venuto in mente; in ogni modo non volevo sottolineare la gravita' del bug (infatti non lo e')ma piuttosto l'allarmante quantita' di bug in IE, e senza polemica giuro che non capisco coma mai la gente non si domandi perche' una softwarehouse con i mezzi di M$ tiri fuori prodotti cosi' scadenti.
    non+autenticato


  • - Scritto da: z2
    > IE, e senza polemica giuro che non capisco
    > coma mai la gente non si domandi perche' una
    > softwarehouse con i mezzi di M$ tiri fuori
    > prodotti cosi' scadenti.

    perche' la gente non si domanda. clicca e basta.
    non+autenticato
  • Eh. Brutta bestia l'invidia, vero?

    - Scritto da: munehiro
    >
    >
    > - Scritto da: z2
    > > IE, e senza polemica giuro che non capisco
    > > coma mai la gente non si domandi perche'
    > una
    > > softwarehouse con i mezzi di M$ tiri fuori
    > > prodotti cosi' scadenti.
    >
    > perche' la gente non si domanda. clicca e
    > basta.
    non+autenticato
  • - Scritto da: Darth Vader
    > Eh. Brutta bestia l'invidia, vero?

    l'ignoranza e' peggiore.
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: Darth Vader
    > > Eh. Brutta bestia l'invidia, vero?
    >
    > l'ignoranza e' peggiore.

    Il fatto è che gli hacker si accaniscono contro Microsoft, è chiaro che escono i bug.
    Mica vanno a trovare i bug dei programmi degli altri! No di certo, altrimenti dov'è lo sfizio.
    E' comunque risaputo che nessun programma è esente da bug. Solo che certa gente si diverte ad ostacolare il progresso creando terrore su internet...
    Altro che invidiosi o ignoranti.
    Per me questi qui sono privi di etica e di morale.
    non+autenticato

  • > Il fatto è che gli hacker si accaniscono
    > contro Microsoft, è chiaro che escono i bug.

    E questa chi te l'ha detta, tuo cuggino ? La verita' e' molto piu' semplice, prova a scoprirla da solo.

    > E' comunque risaputo che nessun programma è
    > esente da bug.

    Tutti i programmi sono buggosi, certi lo sono pero' di piu'.

    > Solo che certa gente si
    > diverte ad ostacolare il progresso creando
    > terrore su internet...

    Progresso ? Da parte di una ditta monopolistica ?

    > Per me questi qui sono privi di etica e di
    > morale.

    Conosci securityfocus ? Scoprirai che la Microsoft se ne strafrega dei BUG che vengono segnalati, l'unico modo per sollecitare la patch e' pubblicare un exploit.
    non+autenticato
  • - Scritto da: Giambo
    >
    > > Il fatto è che gli hacker si accaniscono
    > > contro Microsoft, è chiaro che escono i
    > bug.
    >
    > E questa chi te l'ha detta, tuo cuggino ? La
    > verita' e' molto piu' semplice, prova a
    > scoprirla da solo.
    >
    > > E' comunque risaputo che nessun programma
    > è
    > > esente da bug.
    >
    > Tutti i programmi sono buggosi, certi lo
    > sono pero' di piu'.
    >
    > > Solo che certa gente si
    > > diverte ad ostacolare il progresso creando
    > > terrore su internet...
    >
    > Progresso ? Da parte di una ditta
    > monopolistica ?
    >
    > > Per me questi qui sono privi di etica e di
    > > morale.
    >
    > Conosci securityfocus ? Scoprirai che la
    > Microsoft se ne strafrega dei BUG che
    > vengono segnalati, l'unico modo per
    > sollecitare la patch e' pubblicare un
    > exploit.

    Può darsi che hai ragione, però impara a mettere il ? subito dopo le parole, senza lo spazio. E impara a scrivere la e con l'accento così: è e non così: e' .
    So che il galateo di internet non permette di far notare tali errori, ma io quando li vedo mi incazzo, non ci posso fare niente.
    non+autenticato
  • - Scritto da: Edo
    > Può darsi che hai ragione, però impara a
    > mettere il ? subito dopo le parole, senza lo
    > spazio.

    in francese la punteggiatura doppia si scrive staccata dalla parola che precede e che segue. In italiano no... e questa te la posso concedere, ma non stiamo scrivendo un libro.

    > E impara a scrivere la e con
    > l'accento così: è e non così: e' .

    Certamente, pero' cosi' non sei ascii 7 bit, inoltre se hai tastiera americana (e molti programmatori, me compreso, hanno la keyb us) non hai vita facile per fare le accentate. ad ogni modo non le usavo nemmeno quando avevo la keyb it.

    > So che il galateo di internet non permette
    > di far notare tali errori, ma io quando li
    > vedo mi incazzo, non ci posso fare niente.

    prima di insegnare come si scrive in internet, dovresti imparare tu a scrivere in italiano. Si scrive "puo' darsi tu _abbia_ ragione"

    cordialmente
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: Edo
    > > Può darsi che hai ragione, però impara a
    > > mettere il ? subito dopo le parole, senza
    > lo
    > > spazio.
    >
    > in francese la punteggiatura doppia si
    > scrive staccata dalla parola che precede e
    > che segue. In italiano no... e questa te la
    > posso concedere, ma non stiamo scrivendo un
    > libro.
    >
    > > E impara a scrivere la e con
    > > l'accento così: è e non così: e' .
    >
    > Certamente, pero' cosi' non sei ascii 7 bit,
    > inoltre se hai tastiera americana (e molti
    > programmatori, me compreso, hanno la keyb
    > us) non hai vita facile per fare le
    > accentate. ad ogni modo non le usavo nemmeno
    > quando avevo la keyb it.
    >
    > > So che il galateo di internet non permette
    > > di far notare tali errori, ma io quando li
    > > vedo mi incazzo, non ci posso fare niente.
    >
    > prima di insegnare come si scrive in
    > internet, dovresti imparare tu a scrivere in
    > italiano. Si scrive "puo' darsi tu _abbia_
    > ragione"
    >
    > cordialmente

    ok chiedo venia

    non+autenticato