Nuova megapatch per Internet Explorer

Microsoft ha rilasciato una patch cumulativa dedicata a Internet Explorer 5 e 6 che corregge due nuove falle, fra cui una considerata di grave entità

Redmond (USA) - La scorsa settimana Microsoft ha rilasciato una patch cumulativa per le versioni 5.01, 5.5 e 6.0 di Internet Explorer che, oltre a contenere tutti i precedenti bug fix, elimina due nuove vulnerabilità, fra cui una classificata da Microsoft come "critica".

La falla più seria - secondo quanto riportato nel bollettino di sicurezza di Microsoft - potrebbe consentire ad un aggressore di inglobare all'interno di un cookie uno script in grado di essere eseguito all'interno dell'area di protezione di IE "Intranet locale", assai meno restrittiva rispetto a quella "Internet" tipicamente assegnata agli script scaricati dal Web. Questo potrebbe costituire un serio pericolo per la sicurezza e la privacy degli utenti anche se, fra i fattori mitiganti, Microsoft cita il fatto che lo script può girare solo con i diritti specifici dell'utente che lo esegue.

La seconda falla, sebbene meno grave della precedente, è divenuta molto popolare sul Web, specie perché si presta bene a fare scherzetti agli utenti. Questa vulnerabilità, che riguarda il modo in cui IE gestisce i tag "Object" all'interno del codice HTML, consente infatti ad un aggressore di confezionare una pagina Web ad hoc che, una volta visualizzata, può lanciare programmi locali già presenti sulla macchina dell'utente.
E' grazie a questa falla se diversi siti, con scopi più o meno "nobili", sono in grado di lanciare, attraverso IE, i tipici programmi che accompagnano Windows: la calcolatrice, il blocco note, WordPad, la shell dei comandi, Paint, ecc.

Microsoft, che ha classificato questa falla di rischio "medio", sostiene che la sua pericolosità è temperata dal fatto che un aggressore deve conoscere l'esatta ubicazione dei file da eseguire e non ha modo di passare parametri ai programmi. Per il momento, secondo gli esperti di sicurezza, il massimo danno che un cracker può fare sfruttando questa vulnerabilità è quello di spegnere o riavviare il PC di un utente.
TAG: sicurezza
20 Commenti alla Notizia Nuova megapatch per Internet Explorer
Ordina
  • "Microsoft cita il fatto che lo script può girare solo con i diritti specifici dell'utente che lo esegue."

    tutti quelli che conosco che si sono installati Windows2000 a casa "si sono stufati" di dover entrare con privilegi amministrativi e si sono fatti (chiaro che è suggerito dall'installazione di w2k) l'utente-unico ...

    entrano ed escono solo con un utente che ha privilegi amministrativi. Praticamente non esiste la sicurezza.
    non+autenticato
  • bhe, cavoli loro...
    non+autenticato
  • io ho w2000, e mi tocca loggarmi come administrator perché se entro come power user alcuni programmi si rifiutano di funzionare (autocad LT ecc.)

    probabilmente ci sarà anche un modo per fare funzionare tutto anche come Power User, però sono pigro e non ho voglia di cercarlo.

    mi limito a mettere le patch e dire tante preghierine.
    non+autenticato
  • Basta usare RUNAS...
    Oppure ti crei uno shortcut per i programmi piu' esposti (IE, Mail Client) e vi setti la possibilita' di usare un utente differente.
    Al successivo avvio dello shortcut, ti verra' proposto se usare l'account con cui sei loggato oppure uno differente, con ovviamente diritti minimizzati.
    Piu' semplice di cosi' !


    - Scritto da: maranza
    > io ho w2000, e mi tocca loggarmi come
    > administrator perché se entro come power
    > user alcuni programmi si rifiutano di
    > funzionare (autocad LT ecc.)
    >
    > probabilmente ci sarà anche un modo per fare
    > funzionare tutto anche come Power User, però
    > sono pigro e non ho voglia di cercarlo.
    >
    > mi limito a mettere le patch e dire tante
    > preghierine.
    non+autenticato
  • Io uso linux e anche xp aime', lo sai vero che un programmillo schifezza come ICQ non funge con utente normale? Praticamente succede che il SO è un pseudo-SO-multi-utente, e le applicazioni fanno in ca%%o che vogliono. Dimmi te se è possibile. Inutile dire che uso administrator pure io e se mi bucano pazienza, intanto cerco di evitare tutto quel che è M$ nel limite del possibile, ed evito anche le applicazioni più conosciute rimpiazzandole con cloni (se ci sono) a spesso anche open source.
    non+autenticato
  • Se ICQ e' un programmillo schifezza, come hai scritto tu, e' inutile che una riga dopo tu te la prenda con il S.O., prenditela con i programmatori di ICQ : e comunque, se configuri correttamente profiles e permissions, i prodotti scritti per WinNT/2K/XP funzionano anche senza girare nel contesto di admin (vedi RUNAS).
    Buono studio!

    - Scritto da: mi
    > Io uso linux e anche xp aime', lo sai vero
    > che un programmillo schifezza come ICQ non
    > funge con utente normale? Praticamente
    > succede che il SO è un
    > pseudo-SO-multi-utente, e le applicazioni
    > fanno in ca%%o che vogliono. Dimmi te se è
    > possibile. Inutile dire che uso
    > administrator pure io e se mi bucano
    > pazienza, intanto cerco di evitare tutto
    > quel che è M$ nel limite del possibile, ed
    > evito anche le applicazioni più conosciute
    > rimpiazzandole con cloni (se ci sono) a
    > spesso anche open source.
    non+autenticato


  • - Scritto da: Gianluca70
    profiles e
    > permissions, i prodotti scritti per
    > WinNT/2K/XP funzionano anche senza girare
    > nel contesto di admin (vedi RUNAS).
    > Buono studio!

    Ok grazie, però prova a fare una cosa costruttiva, per esempio linkare siti che spiegano meglio il tutto o magari posta te la soluzione al tutto;
    non+autenticato
  • Purtroppo la colpa non è del SO ma di chi scrive i programmi...

    Perché un prg giri su un sistema multiutente deve essere scritto in modo che separi i dati dei vari utenti e che i vari utenti possano accedere solo ai loro. Inoltre ci sono proprio delle cose che i prg non possono fare perché riservate al SO. Unix è nato multiutente per cui non ha mai avuto questo problema, Windows no e tuttora ci sono molti prg dichiarati compatibili anche con NT/2000 che purtroppo girano solo come administrator. Per es. Nero gira solo solo così, ma è un suo limite perché CloneCD funziona bene anche come semplice user...

    Molti prg poi hanno la brutta abitudine di modificare file di configurazione nella propria dir, mentre invece dovrebbero farlo nella dir degli utenti... in questo caso se si riesce a capire di quali file si tratta si possono dare solo a loro permessi meno restrittivi; discorso analogo per le chiavi del registro...

    Purtroppo ci sono comunque dei casi in cui non c'e' nulla da fare...

    non+autenticato


  • - Scritto da: Gianluca70
    > Se ICQ e' un programmillo schifezza, come
    > hai scritto tu, e' inutile che una riga dopo
    > tu te la prenda con il S.O., prenditela con
    > i programmatori di ICQ : e comunque, se
    > configuri correttamente profiles e
    > permissions, i prodotti scritti per
    > WinNT/2K/XP funzionano anche senza girare
    > nel contesto di admin (vedi RUNAS).
    > Buono studio!
    be' se icq non parte se lanciato da un utente non root non e' colpa di icq ma dell OS se permetti; poi non ho capito in questo caso (o nel caso di autocad in un altro post) se windows non ti fa eseguire questi programmi perche' contengono syscall che richiedono i permessi di root o semplicemente perche' gli utenti normali non hanno permesso di esecuzione sui file in questione
    (in ambedue i casi e' una cosa sensa senso per programmi come autocad o icq)
    non+autenticato


  • - Scritto da: z2
    > be' se icq non parte se lanciato da un
    > utente non root non e' colpa di icq ma dell
    > OS se permetti;

    Questo non e` necessariamente vero.
    Se ICQ vuole partire con i permessi di root significa che fa delle cose che solo root puo` fare. Quindi le cose sono due: i programmatori di icq fanno delle cose che non dovrebbero fare, le polize di accesso di win2000 sono progettate male.

    non+autenticato


  • - Scritto da: stupito
    >

    >

    > - Scritto da: z2

    > > be' se icq non parte se lanciato da un

    > > utente non root non e' colpa di icq ma
    > dell

    > > OS se permetti;
    >
    > Questo non e` necessariamente vero.
    > Se ICQ vuole partire con i permessi di root
    > significa che fa delle cose che solo root
    > puo` fare. Quindi le cose sono due: i
    > programmatori di icq fanno delle cose che
    > non dovrebbero fare, le polize di accesso di
    > win2000 sono progettate male.
    >

    ovviamente davo per scontato che icq non facesse cose che necessitano i permessi di root (certo non si sa mai, ma mi pare difficile)
    non+autenticato
  • Quando ci sarà l'ultima mi preoccuperò: vuol dire che il SW non si sta più evolvendo.

    - Scritto da: upgrade
    > come da oggetto
    non+autenticato
  • AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH
    AH AH AH AH AH AH AH AH AH AH AH AH

    Sei inimitabile! Riesci sempre a cogliere il lato positivo delle cose (beh, solo se sono cose Microsoft).
    non+autenticato
  • Guarda che il software Microsoft NON si sta evolvendo da un pezzo...

    sono i bug che si evolvono!

    Hanno vita propria ormai, sono malvagi e sono in grado di distruggere in un secondo il lavoro di un anno.

    In realtà Bill Gates è un biologo.
    non+autenticato


  • - Scritto da: Darth Vader
    > Quando ci sarà l'ultima mi preoccuperò: vuol
    > dire che il SW non si sta più evolvendo.

    Quando ci sara` l'ultima ti dovrai preoccupare perche' vorra` dire che la Microsoft avra` deciso di smettere di supportare il tuo browser e ti dovrai fare un upgrade totale.
    non+autenticato


  • - Scritto da: Darth Vader
    > Quando ci sarà l'ultima mi preoccuperò: vuol
    > dire che il SW non si sta più evolvendo.

    O magari che a zio Bill non gliene frega più una mazza di te e tutti quelli che dipendono da lui come drogati...
    non+autenticato


  • - Scritto da: upgrade
    > come da oggetto
    Oddio, io sto a perde i lconto: a che patch sto, che vulnerabilita' ho, come mi chiamo?

    Ma, possibile che un utente medio non possa stare tranquillo?
    Queste son cose da amministratori di rete o chi per essi, insomma :-/
    non+autenticato