IE inciampa ancora sugli ActiveX

Scoperta nel browser una nuova falla legata al modo con cui gestisce i celebri controlli. Intanto Mozilla Foundation ha invece pianificato il rilascio di un aggiornamento che corregge una vulnerabilità di Firefox

Roma - Per la seconda volta nel giro di una settimana, un ricercatore di sicurezza ha scoperto in Internet Explorer una vulnerabilità ancora non corretta. Questa volta si tratta di un problema relativo alla gestione dei controlli ActiveX che interessa le versioni di Windows XP e Server 2003 prive dell'ultimo service pack (SP).

In questo advisory, FrSIRT classifica il problema "ad alto rischio" e spiega che la debolezza potrebbe essere sfruttata da un aggressore remoto per "prendere il completo controllo di un sistema vulnerabile".

La falla potrebbe consentire la manipolazione del box di dialogo che IE visualizza prima dell'installazione o dell'esecuzione di un programma ActiveX: un sito potrebbe sfruttare questa possibilità per indurre un utente ad autorizzare il download e l'esecuzione dell'ActiveX. FrSIRT avverte che su Internet è già stato pubblicato un exploit dimostrativo.
La vulnerabilità interessa tutte le versioni di IE tranne la 7 Beta 2 e tutte le versioni di Windows tranne XP con SP2 e Server 2003 con SP1.

Un portavoce di Microsoft ha minimizzato la serietà della falla spiegando che questa non può essere sfruttata per eseguire del codice, inoltre un eventuale attacco richiederebbe una certa interazione da parte dell'utente. Il big di Redmond prevede di correggere il bug in una delle prossime collezioni di fix.

Di fix si sta occupando anche Mozilla Foundation, impegnata nella correzione di una recente falla scoperta in Firefox. Sebbene Secunia consideri il problema di scarsa entità, lo scopritore della debolezza ha spiegato in questo advisory che esiste la possibilità di sfruttare il bug anche per eseguire del codice da remoto.
TAG: sicurezza
33 Commenti alla Notizia IE inciampa ancora sugli ActiveX
Ordina
  • Veramente le falle in Firefox 1.5.0.2 sono 3
    non+autenticato
  • - Scritto da:
    > Veramente le falle in Firefox 1.5.0.2 sono 3
    Veramente le falle in Firefox 1.5.0.3 è zero Ficoso
    non+autenticato
  • Note : The vulnerability does reportedly not affect Windows XP SP2 and Windows 2003 SP1.

    http://www.frsirt.com/english/advisories/2006/1559
    non+autenticato
  • C'è scritto nell'articolo, sai leggere?
    non+autenticato

  • - Scritto da:
    > C'è scritto nell'articolo, sai leggere?

    Dopo che l'hanno corretto si...
    non+autenticato
  • Io l'ho letto stamattina, e già c'era scritto che XP SP2 e Windows 2003 SP1 non erano affetti.

    C'era bisogno di scriverlo anche a pomeriggio?
    non+autenticato

  • - Scritto da:
    > Io l'ho letto stamattina, e già c'era scritto che
    > XP SP2 e Windows 2003 SP1 non erano
    > affetti.
    >
    > C'era bisogno di scriverlo anche a pomeriggio?

    Io l'ho letto stamattina presto e non c'era scritto così, evidentemente dopo che P4 gliel'ha fatto notare hanno corretto la notizia.
    non+autenticato
  • P4 l'ha fatto notare alle 11 (vedi l'ora del post).

    Io ho letto la notizia tra le 8 e le 9 ed era già corretta.

    P4 comunqe ha cattiva fama.
    non+autenticato
  • No, come viene anche fatto notare in questo post:
    http://punto-informatico.it/f/m.aspx?m_id=1469752&...
    Stamattina c'era scritto: "Tranne la beta IE7 Beta2" e basta
    non+autenticato
  • Leggi la mia risposta sotto, distrattone.Sorride
    non+autenticato

  • - Scritto da:
    > Leggi la mia risposta sotto, distrattone.Sorride

    Poi leggendo di nuovo l'articolo, si nota ancora che la notizia e sbagliata perchè dice: "La vulnerabilità interessa tutte le versioni di IE tranne la 7 Beta 2", mentre non è vero che IE6 SP2 ha quella vulnerabilità
    non+autenticato

  • - Scritto da:
    > Poi leggendo di nuovo l'articolo, si nota ancora
    > che la notizia e sbagliata perchè dice: "La
    > vulnerabilità interessa tutte le versioni di IE
    > tranne la 7 Beta 2", mentre non è vero che IE6
    > SP2 ha quella
    > vulnerabilità

    La notizia è stata palesemente corretta e corretta male.
    non+autenticato
  • Su WinXP SP2 non funziona,
    perchè l'installazione di un ActiveX avviene tramite la barra informativa e NON tramite la finestra di dialogo. Con la finestra di dialogo è possibile dire si o no alla esecuzione di activex già installati, mentre l'installazione di un nuovo activex avviene sempre e solo attraverso la barra informativa. Quindi in sostanza chi ha il SP2 non è vulnerabile da installazione di malware o di activex.

    Saluti da P4
    non+autenticato
  • Fate questo test se non ci credete:
    http://downloads.securityfocus.com/vulnerabilities...

    dovete iniziare a scrivere la parola indicata; la vulnerabilità consiste nel fatto che voi mentre state scrivendo rispondete a vostra insaputa a "SI" nella finestra di dialogo di richiesta installazione; peccato però che su WinXP SP2 per motivi di sicurezza NON c'è più la finestra di dialogo che vi chiede la conferma di installare un ActiveX, ma esiste la barra informativa, e quindi per installare un Activex dovete voi stessi clickarci sopra e quindi su WinXP SP2 la vulnerabilità da installazione di activex o di malware NON esiste

    Saluti da P4
    non+autenticato
  • C'è scritto nell'articolo, sai leggere?
    non+autenticato

  • - Scritto da:
    > C'è scritto nell'articolo, sai leggere?

    Lo hanno corretto.
    non+autenticato
  • Era corretto già stamattina alle 8.
    non+autenticato

  • - Scritto da:
    > Era corretto già stamattina alle 8.

    No.
    non+autenticato

  • - Scritto da:
    > Era corretto già stamattina alle 8.

    No, come viene anche fatto notare in questo post:
    http://punto-informatico.it/f/m.aspx?m_id=1469752&...
    Stamattina c'era scritto: "Tranne la beta IE7 Beta2" e basta
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Era corretto già stamattina alle 8.
    >
    > No, come viene anche fatto notare in questo post:
    > http://punto-informatico.it/f/m.aspx?m_id=1469752&
    > Stamattina c'era scritto: "Tranne la beta IE7
    > Beta2" e
    > basta

    Quel post è delle 00:36, impara a leggere.

    Tra le 8 e le 9, quando l'ho letta io, era corretta, poi è arrivato P4 a fare il gradasso con le sue segnalazioni a sproposito.
    non+autenticato

  • - Scritto da:
    > Quel post è delle 00:36, impara a leggere.

    Io l'ho letta alle 10:30 e c'era ancora la notizia sbagliata.

    > Tra le 8 e le 9, quando l'ho letta io, era
    > corretta, poi è arrivato P4 a fare il gradasso
    > con le sue segnalazioni a
    > sproposito.

    Non mi pare, P4 ha dato informazioni utili che PI ha omesso.
    non+autenticato
  • - Scritto da:
    >
    > - Scritto da:
    > > Quel post è delle 00:36, impara a leggere.
    >
    > Io l'ho letta alle 10:30 e c'era ancora la
    > notizia
    > sbagliata.

    Sarà stata ripristinata la notizia sbagliata? Ripeto, tra le 8 e le 9 non era sbagliata.

    > Non mi pare, P4 ha dato informazioni utili che PI
    > ha
    > omesso.

    PI non le ha omesse, siete tu e P4 che siete arrivati tardi.
    non+autenticato

  • - Scritto da:
    > Sarà stata ripristinata la notizia sbagliata?
    > Ripeto, tra le 8 e le 9 non era
    > sbagliata.

    Ci sarà stato qualche problema sui server, fatto sta che non sono l'unico ad aver letto la notizia sbagliata.
    non+autenticato

  • Veramente usa gli iframe come escamotage per fregare FF .... ma la cosa non funziona se non nella versione Linux, che se non erro è già risolta.
    non+autenticato
  • Ancora in giro stanno sti activex?
    Ma dopo anni di disastri che hanno combinato ancora non ce ne siamo liberati?

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)