Confermata nuova falla in IE

In Internet Explorer Ŕ stata scoperta una nuova vulnerabilitÓ che potrebbe mettere a serio rischio la sicurezza degli utenti. Microsoft al lavoro sulla patch

Roma - Microsoft ha confermato nelle scorse ore l'esistenza, in Internet Explorer, di una vulnerabilitÓ di sicurezza che potrebbe consentire ad un aggressore di prendere il controllo di un sistema remoto.

FrSIRT, che in questo advisory classifica il problema con il massimo grado di pericolositÓ, ha spiegato che la falla Ŕ causata da un errore nel modo in cui il browser di Microsoft processa una chiamata createTextRange() associata ad un oggetto checkbox.

La vulnerabilitÓ, che un aggressore potrebbe sfruttare inducendo un utente a visitare un sito web dannoso, interessa tutte le versioni di IE ancora supportate, dalla 5.01 alla 6.0 SP1.
In attesa che venga rilasciata una patch, Microsoft ha suggerito ai propri utenti di disattivare nelle opzioni di sicurezza di IE l'esecuzione dei Javascript.

Questa Ŕ il terzo bug di IE scoperto nelle ultime due settimane insieme a quello riportato qui da Punto Informatico e quello riportato il 13 marzo su questo blog. Microsoft conta di ridurre drasticamente i problemi di sicurezza legati ad IE con il rilascio della versione 7 del proprio browser: questo porterÓ con sÚ, fra le altre cose, una modalitÓ di esecuzione con privilegi ridotti, un sistema antiphishing e una pi¨ robusta implementazione del protocollo SSL (Secure Socket Layer).
TAG: browser
236 Commenti alla Notizia Confermata nuova falla in IE
Ordina
  • Fonte secunia, alcuni falli molto grossi
    ma sembra che i vinari ormai ci siano
    assuefatti

    GET THE FACTS !!!
    non+autenticato

  • - Scritto da: Anonimo
    > Fonte secunia, alcuni falli molto grossi
    > ma sembra che i vinari ormai ci siano
    > assuefatti
    >
    > GET THE FACTS !!!


    Ma Secunia che attendibilità puo avere? Mica è un ente perfetto. Anzi, forse sotto l'effetto di un bel pò di $$$ dati da google e soci a questi qua, i bug possono anche uscire come funghi.

    La verità è che ancora nessuno viene pagato per cercare bug in firefox in maniera così maniacale come molti fanno verso IE. Anzi, penso che se ci fosse un'azione efficace di debugging verso la volpe piumata, quel programmatore debugger dovrebbe farlo per lo meno da honolulu; non mi stupirebbe infatti se trovassero fuori casa sua una bella cartolina con 2 pallottole dentro.

    bye bye pinguazzi

    non+autenticato

  • - Scritto da: Anonimo
    > Fonte secunia, alcuni falli molto grossi
    > ma sembra che i vinari ormai ci siano
    > assuefatti
    >
    > GET THE FACTS !!!


    Secondo me molti winari usano firefox/opera/k-meleon/altri.

    Poi ci sono i fedelissimi........ dopotutto ci sono anche gli interisti........ Sorride

    ciao
  • In questo momento, ci dicono i siti autorevoli che si
    occupano di sicurezza, il kernel linux 2.6.x ha 13 falle
    less critical aperte. Si tratta di un software estremamente complesso che funziona su 11 ARCHITETTURE principali, nonche' su molte altre secondarie, tra cui amd32/64,
    intel32/64, sparc, mips, alpha, arm, ppc, etc
    Il risultato quindi e' quanto meno eccezionale.

    Tuttavia si tratta di un software in continuo sviluppo e che, tra l'altro, NESSUNO USA direttamente. Gli utenti linux non usano il kernel cosidetto vanilla sviluppato dal team di kernel.org direttamente, ma il kernel testato dalle varie societa', personalizzato e inserito nelle varie distribuzioni, come per esempio il kernel inserito in Red Hat Enterprise, per citarne una tra tante.

    Credo che anche un vinaro sappia che gli utenti linux
    usano le c.d. distribuzioni, non il kernel scaricato da
    kernel.org e compilato, non openoffice e firefox
    scaricati, etc, ma RedHat, per esempio, che
    distribuisce il tutto testato e messo in sicurezza,
    nonche' continuamente aggiornato in modo
    estremamente efficente, come ci dicono i siti che
    si occupano di sicurezza, al contrario di quanto
    avviene per certe schifezze con decine di falle
    aperte e aggiornamenti mensili da vergognarsi.

    Pertanto, se vogliamo sapere quante falle aperte ha il kernel che usano gli utenti di RedHat, per esempio, andiamo su un sito dedicato alla sicurezza e facciamo una ricerca. A quel punto ci accorgiamo che RedHat Enterprise ha in questo momento ZERO FALLE APERTE: questo vuole dire che TUTTO IL SOFTWARE CONTENUTO IN REDHAT, openoffice e firefox compresi, nonche il kernel, e' in questo momento esente da falle note. Il risultato e' quanto meno eccezionale.

    D'altra parte questo e' normale: si parla di un *nix di
    classe media, non di una schifezza come XP. Si
    tratta di sistemi che devono far girare l'infrastruttura di banche, istituzioni, interi paesi di grandi dimensioni, non di ciofeche per scrivere col vord o giochicchiare.

    Di conseguenza, verificare il fatto che RedHat Enterprise sia esente da falle, nonostante sia uno dei sistemi server piu usato al mondo, e che lo stesso
    valga per Debian Sarge, che ha tre fallette less
    critical innocue a fronte di una distribuzione di dieci
    giga di software per 11 tipi di macchina, e' normale, visto il livello dei sistemi di cui stiamo parlando, assolutamente non confrontabile con schifezze come XP.

    VALUTA I FATTI !!!
    non la fuffa della pubblicita' truffa.
    non+autenticato
  • > Pertanto, se vogliamo sapere quante falle aperte
    > ha il kernel che usano gli utenti di RedHat, per
    > esempio, andiamo su un sito dedicato alla
    > sicurezza e facciamo una ricerca. A quel punto ci
    > accorgiamo che RedHat Enterprise ha in questo
    > momento ZERO FALLE APERTE: questo vuole dire che

    premesso che non conosco RedHat Enterprise, ma se non sbaglio la Versione WS contiene anche pacchetti per uso dekstop quindi penso che contenga anche programmi come Firefox e openoffice.

    Se nella versione propria ha corretto tutte le falle, visto che sta usando programmi nati da altri allora non sarebbe bello che comunicasse agli sviluppatori ufficiali come ha fatto queste correzioni.

    Magari lo ha gia' fatto e quindi questo discorso non c'entra, pero' visto che cercando FireFox nel database di secunia falle se ne trovano ancora.....



    >
    > Di conseguenza, verificare il fatto che RedHat
    > Enterprise sia esente da falle, nonostante sia
    > uno dei sistemi server piu usato al mondo, e che
    > lo stesso

    Paragonare Sistemi Server con sistemi Client.......

    cmq anche windows 2003 server non sembra esente da bug Sorride.

    > VALUTA I FATTI !!!
    > non la fuffa della pubblicita' truffa.

    Xp per quello che serve se usato bene non da problemi,

    Se poi si ascolta solo il venditore............


  • - Scritto da: pippo75
    > > Pertanto, se vogliamo sapere quante falle aperte
    > > ha il kernel che usano gli utenti di RedHat, per
    > > esempio, andiamo su un sito dedicato alla
    > > sicurezza e facciamo una ricerca. A quel punto
    > ci
    > > accorgiamo che RedHat Enterprise ha in questo
    > > momento ZERO FALLE APERTE: questo vuole dire che
    >
    > premesso che non conosco RedHat Enterprise, ma se
    > non sbaglio la Versione WS contiene anche
    > pacchetti per uso dekstop quindi penso che
    > contenga anche programmi come Firefox e
    > openoffice.
    >
    > Se nella versione propria ha corretto tutte le
    > falle, visto che sta usando programmi nati da
    > altri allora non sarebbe bello che comunicasse
    > agli sviluppatori ufficiali come ha fatto queste
    > correzioni.
    >
    > Magari lo ha gia' fatto e quindi questo discorso
    > non c'entra, pero' visto che cercando FireFox nel
    > database di secunia falle se ne trovano
    > ancora.....
    >
    >
    >
    > >
    > > Di conseguenza, verificare il fatto che RedHat
    > > Enterprise sia esente da falle, nonostante sia
    > > uno dei sistemi server piu usato al mondo, e che
    > > lo stesso
    >
    > Paragonare Sistemi Server con sistemi
    > Client.......
    >
    > cmq anche windows 2003 server non sembra esente
    > da bug Sorride.
    >
    > > VALUTA I FATTI !!!
    > > non la fuffa della pubblicita' truffa.
    >
    > Xp per quello che serve se usato bene non da
    > problemi,
    >
    > Se poi si ascolta solo il venditore............


    quando viene classificata "red hat " si intende "red hat + firefox con patch date da mozilla ed applicate da redhat".
    Questo vuol dire che in ogni caso firefox presenta le falle "originarie"(se queste non sono state chiuse).
    Se poi redhat NON applica le parch di mozilla allora risultano "unpatched".
    In ogni caso,paragonare un kernel di un so con un browserè da PAZZI
    non+autenticato

  • > quando viene classificata "red hat " si intende
    > "red hat + firefox con patch date da mozilla ed
    > applicate da redhat".

    allora visto che firefox non e' esente da bug aperti, nel caso in cui redhat usi FF non sarebbe esente a bug.



  • - Scritto da: pippo75
    >
    > > quando viene classificata "red hat " si intende
    > > "red hat + firefox con patch date da mozilla ed
    > > applicate da redhat".
    >
    > allora visto che firefox non e' esente da bug
    > aperti, nel caso in cui redhat usi FF non sarebbe
    > esente a bug.
    >
    no..credo che i bug considerati da secuina sono quelli imputabili SOLO alla casa....(ma il dfiscorso è generico e vale per tutti i software elencati).CMq fare un paragone buchi tra giga e giga di software e un sistema con giusto 3-4 applicativi(windows)è impossibile.
    non+autenticato

  • > >
    > no..credo che i bug considerati da secuina sono
    > quelli imputabili SOLO alla casa....(ma il
    > dfiscorso è generico e vale per tutti i software
    > elencati).CMq fare un paragone buchi tra giga e
    > giga di software e un sistema con giusto 3-4
    > applicativi(windows)è impossibile.


    allora non e' esente, dopotutto chi crea una distro dovrebbe sapere che piu' programmi ci mette e piu' bug avra'.

    Una ditta seria dovrebbe pensare a tutti i bug dei programmi che distribuisce e se una distro contiene 100000000 programmi....... forse ogni tanto converrebbe sfoltire i rami.


  • - Scritto da: pippo75
    >
    > > >
    > > no..credo che i bug considerati da secuina sono
    > > quelli imputabili SOLO alla casa....(ma il
    > > dfiscorso è generico e vale per tutti i software
    > > elencati).CMq fare un paragone buchi tra giga e
    > > giga di software e un sistema con giusto 3-4
    > > applicativi(windows)è impossibile.
    >
    >
    > allora non e' esente, dopotutto chi crea una
    > distro dovrebbe sapere che piu' programmi ci
    > mette e piu' bug avra'.
    guarda,è molto semplice il discorso:una ditta ti offre un tot di pacchetti,è "come se" tu andassi a prenderli dai produttori,solo che è tutto più semplcie visto che non fai sforzi.
    Non è che ti INSTALLA tutti i software,sei TU che li installi.
    >
    > Una ditta seria dovrebbe pensare a tutti i bug
    > dei programmi che distribuisce e se una distro
    > contiene 100000000 programmi....... forse ogni
    > tanto converrebbe sfoltire i rami.
    non+autenticato
  • >paragonare un kernel di un so
    > con un browserè da PAZZI

    ovvio, ma qui stiamo parlando di modelli di sicurezza

    Avviene cosi':
    esce un problema in ff 1.0.x
    in redhat, per esempio, c'e' proprio ff 1.0.x, quindi
    una versione che ha la falla in oggetto: i mantenitori
    del pacchetto ff di redhat (o di debian o altro) collaborano con quelli di ff e gli altri per risolvere il problema, poi generano la patch per la loro
    distro in qualche ora

    lo stesso vale per il kernel e per ogni altro pacchetto

    si chiama opensource ed e' un modello di sviluppo
    del software: forse ne avete avuto notizia anche voi

    e' universalmente accettato che questo modello di
    sicurezza funziona in modo insuperato: ovvero i vinari
    incalliti, di enorme livello, non i vinari poveretti di pi, lo invidiano come un ideale per ora irraggiungibile
    non+autenticato
  • >FireFox nel database di secunia falle se ne trovano >ancora.....

    la versione di ff in rh enterprise non e' la stessa, ma
    una un po' vecchiotta pero' senza falle aperte
    c'e' naturalmente un dialogo continuo tra i team di sicurezza delle distro, nelle persone dei mantenitori dei vari pacchetti, e i produttori dei vari sw, in questo
    caso ff: diciamo che rh enterprise mantiene una
    version 1.0.x, con meno ficiurs dell'ultima, ma
    ben patchata, e lo stesso vale per ooffice e per
    tutto il resto, nonchè per i pacchetti debian.

    ciao
    non+autenticato

  • - Scritto da: Anonimo
    > In questo momento, ci dicono i siti autorevoli
    > che si
    > occupano di sicurezza, il kernel linux 2.6.x ha
    > 13 falle
    > less critical aperte.

    Il kernel è solo una minima parte di un sistema operativo. Basta una falla in una dei tanti pacchetti di una distribuzione di linux per avere lo stesso una vulnerabilità
    non+autenticato
  • > Basta una falla in una dei tanti pacchetti

    E' vero:
    quindi andiamo a vedere quante falle hanno
    i pacchetti di Red Hat Enterprise
    ZERO
    andiamo a vedere quante falle hanno i
    pacchetti di Debian Stable
    3 less critical su dieci giga di pacchetti per
    11 tipi di macchine


    andiamo a vedere quante falle ha xp pro:
    alcune decine su poche centinaia di mega di
    programmi: una schifezza, se confrontata con
    gli standard di sicurezza degli *nix

    quindi, facciamo una cosa dettata dal buon senso:
    iniziamo a imparare ad usare sistemi seri, non e'
    difficile. Pensa che ci riescono alcune miliardate di
    di cinesi e coreani.
    non+autenticato

  • Dimostrato sui CSS ZenGarden...

    E direi che con quest'ultimo colpo Firefottimi ha chiuso....

    http://blogs.msdn.com/ie/archive/2006/03/23/559409...
    non+autenticato
  • >Dimostrato sui CSS ZenGarden...

    come no, da una fonte indipendente vero ?

    aspetta un mesetto e avrai i primi exploit per
    l'ennesima schifezza di ballmer, poi ne riparliamo
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Dimostrato sui CSS ZenGarden...
    >
    > E direi che con quest'ultimo colpo Firefottimi ha
    > chiuso....
    >
    > http://blogs.msdn.com/ie/archive/2006/03/23/559409

    Confermo. Il team di IE7 ha fatto un ottimo lavoro.
    non+autenticato
  • Grazie all'impostazione di default che non carica immagini remote visualizzando le e-mail, si evita di confermare involontariamente la validità della propria e-mail agli spammer. Anche sul mio indirizzo e-mail più spammato ho avuto un calo dello spam di oltre il 50%.
    non+autenticato

  • - Scritto da: Anonimo
    > Grazie all'impostazione di default che non carica
    > immagini remote visualizzando le e-mail, si evita
    > di confermare involontariamente la validità della
    > propria e-mail agli spammer. Anche sul mio
    > indirizzo e-mail più spammato ho avuto un calo
    > dello spam di oltre il 50%.

    Quella impostazione c'è anche abilitata di default in Outlook Express di Windows XP SP2
    non+autenticato
  • > Quella impostazione c'è anche abilitata di
    > default in Outlook Express di Windows XP SP2

    Considerando l'enorme diffusione di Windows 2000, converrai con me che OE su XP SP2 non ce l'hanno tutti. Meglio Thunderbird.
    non+autenticato

  • - Scritto da: Anonimo
    > Grazie all'impostazione di default che non carica
    > immagini remote visualizzando le e-mail, si evita
    > di confermare involontariamente la validità della
    > propria e-mail agli spammer. Anche sul mio
    > indirizzo e-mail più spammato ho avuto un calo
    > dello spam di oltre il 50%.

    Scusa, cosa cavolo c'entra con la notizia della falla di IE?
    Sorpresa
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Grazie all'impostazione di default che non
    > carica
    > > immagini remote visualizzando le e-mail, si
    > evita
    > > di confermare involontariamente la validità
    > della
    > > propria e-mail agli spammer. Anche sul mio
    > > indirizzo e-mail più spammato ho avuto un calo
    > > dello spam di oltre il 50%.
    >
    > Scusa, cosa cavolo c'entra con la notizia della
    > falla di IE?
    > Sorpresa
    Perché spesso l'utente utilizza i programmi in accoppiata, IE+OE oppure FF+TB o magari Opera+Agent, etc, di sicuro le prime due combinazioni prevalgono su soluzioni ibride... alla fine però si ha una situazione generale dove MS peggio di chiunque altro ha chiuso la stalla dopo che erano scappati i buoi.
    non+autenticato
  • ormai ogni 2 giorni co ste falle di ie... si sa è un lurido sterco malcagato dal culo di billiponti... solo che anziche finire in un cesso finisce dentro i vostri os che si riempiono di porcate e contaminano la rete mondiale... siamo stufi di vedere gli IDS pieni di merdate x colpa vostra. SVEGLIATEVI BABBUINI!
    non+autenticato
  • un po' diretta ma hai perfettamente ragione.
    E' bello vedere anche persone che lavorano nel settore, felici del loro Windows, superesperti, e poi ... fai a mettere le mani nei loro PC e scopri virus, dialer, etc. e loro che nemmeno se ne accorgono.
    In fondo sono divertenti... ormai li vedo come bambini che hanno confuso il gioco con il lavoro e la professionalita'.
    Che vuoi ... purtroppo l'Italia e' anche questa.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | Successiva
(pagina 1/7 - 33 discussioni)