Bug in IE, SP2 beta e patch della patch

Microsoft sta investigando su due bug del browser per cui esistono già due exploit pubblici. BigM ha anche ripubblicato una versione aggiornata della patch MS06-025 e ha rilasciato l'SP2 Beta 1 per Win2003/x64

Roma - Gli esperti di sicurezza hanno avvisato gli utenti di Windows della presenza, in Internet Explorer, di due bug ancora aperti. In questi giorni Microsoft ha poi rilasciato la prima beta del Service Pack 2 (SP2) per Windows Server 2003 e XP x64 e la versione corretta di una recente patch di sicurezza.

Le due nuove vulnerabilità di IE sono state classificate sia da FrSIRT che da Secunia come di medio o basso rischio, tuttavia l'Internet Storm Center (ISC) di SANS Institute ha invitato la comunità di esperti a non sottovalutarne la pericolosità, soprattutto in considerazione del fatto che su Internet sono già apparsi i relativi exploit proof of concept (PoC).

La prima falla è causata da un errore nella gestione dei file condivisi, e potrebbe essere sfruttata per indurre un utente ad eseguire un file HTA (HyperText Application) dannoso contenuto in una pagina Web e accessibile via SMB o WebDAV. Il PoC, pubblicato sulla mailing-list Full Disclosure da Plebo Aesdi Nael, scopritore della falla, si avvale di una condivisione SMB e necessita che l'utente faccia doppio clic sul file dannoso. L'esperto spiega tuttavia che l'exploit può essere facilmente modificato per attivarsi con un solo clic del mouse e per funzionare anche con IE7 Beta 2.
"C'è da aspettarsi che i cracker useranno presto questo exploit in modo creativo", ha commentato Bojan Zdrnja sul sito dell'ISC. L'esperto suggerisce agli utenti di IE di disattivare gli script attivi dalle opzioni di sicurezza del browser.

La seconda vulnerabilità è relativa ad una non corretta gestione dell'attributo object.documentElement.outerHTML. Inducendo un utente a visitare un sito web maligno, un aggressore potrebbe riuscire a leggere da remoto i dati provenienti da un altro dominio.

"Questa vulnerabilità può essere potenzialmente pericolosa dal momento che un aggressore può utilizzarla per ottenere dati da altri siti web in cui l'utente è autenticato (per esempio, le webmail) e rubare le sue credenziali", ha spiegato Zdrnja.

Un PoC per questa falla è stato pubblicato sia nell'advisory di Nael che in questa pagina di Secunia, da cui è possibile testare immediatamente se il proprio browser è vulnerabile. Su di un PC della redazione il test di Secunia ha dato responso negativo sia con Firefox 1.5.0.4 che con Opera 9 e IE7 Beta 2. Zdrnja ha però spiegato che il PoC di Nael funziona anche con il browser di Mozilla Foundation.

Microsoft sta attualmente investigando sulle due vulnerabilità. Nel mentre, come accennato, ha ripubblicato la patch distribuita poche settimane fa insieme al bollettino di sicurezza MS06-025. Il motivo di questo "bis" è da ricercare nei problemi lamentati da alcuni utenti dopo l'installazione dell'aggiornamento: in certe circostanze, infatti, la patch interferisce con le connessioni dial-up che utilizzano la finestra del terminale o le funzioni di scripting. A rendere questa patch piuttosto urgente interviene il fatto che negli scorsi giorni è apparso su Internet un primo exploit.

BigM ha anche rilasciato ad un selezionato numero di tester la prima versione beta dell'SP2 per Windows Server 2003 e Windows XP x64. La release finale dell'aggiornamento, che conterrà tutti i bug fix rilasciati fino a quel momento, verrà distribuita nella seconda parte dell'anno. Nonostante il nome, l'SP2 sarà il primo service pack per Windows XP x64 Professional.
129 Commenti alla Notizia Bug in IE, SP2 beta e patch della patch
Ordina
  • http://www.businessweek.com/ap/financialnews/D8II4...

    Un altro cervello, in questo caso il general manager per l'evangelizzazione della piattaforma
    microsfot, è passato a un'azienda innovativa e
    fortemente orientata al futuro, Google. Come ormai
    accade abitualmente, chiunque abbia grandi capacità va via.

    Certo, quest'azienda ha ancora enormi risorse finanziarie, ma senza teste d'uovo anche i soldi possono non bastare e le teste d'uovo si conquistano anche e soprattutto con un'immagine aziendale di prestigio e di innovazione, che sia per loro stimolo e sfida.

    non+autenticato
  • Per chi si lamenta dei bugs di IE... dovrebbe sapere che anche Firefox non scherza...

    Da quando Firefox v1.x è uscito ci sono stati più di 120 vulnerabilità più o meno serie (per chi non ci crede basta andare su Secunia e contare). E fortuna che ha solo il 10% di share...

    Firefox ha dato inizio a una specie di "rinascimento" degli exploit per browsers con versioni successive che venivano rilasciate molto lentamente lasciando spesso gli utenti scoperti a volte perfino per mesi interi. Fortuna che nel logo c'era scritto "Safer"...

    Per avere un browser sicuro tanto vale passare a Opera che con il suo share di 0,5% per ora non attira l'attenzione di nessun microsoftiano "utente malintenzionato" (ci saranno pure utenti benintenzionati?). Oppure buttiamo tutti nel cesso i browser e torniamo a usare i bellissimi Gopher e Archie!!!
    -----------------------------------------------------------
    Modificato dall' autore il 01 luglio 2006 19.48
    -----------------------------------------------------------
  • Cioè il numero di bug è proporzionale alla percentuale di diffusione?A bocca aperta

    P.S.: Ti ricordo che IE6 è in giro da molti anni, senza sostanziali modifiche, e ancora continuano a trovare bug critici.Con la lingua fuori
    non+autenticato

  • - Scritto da:
    > Cioè il numero di bug è proporzionale alla
    > percentuale di diffusione?
    >A bocca aperta
    >
    > P.S.: Ti ricordo che IE6 è in giro da molti anni,
    > senza sostanziali modifiche, e ancora continuano
    > a trovare bug critici.
    >Con la lingua fuori

    Sì è in qualche modo proporzionale: più un browser è diffuso più attira l'attenzione di gente alla ricerca di falle di sicurezza.
    non+autenticato
  • Allora diciamo che il numero di bug scoperti è proporzionale ecc. ecc. Che è diverso.

    Strano come molte delle falle di IE non vengano corrette ma venga suggerito "Disattivare Javascript" o "Disattivare ActiveX". A te non sembra strano, dover pagare un prodotto e non vederselo riparare quando si scopre una vulnerabilità?
    non+autenticato

  • - Scritto da:
    > Allora diciamo che il numero di bug
    > scoperti è proporzionale ecc. ecc. Che è
    > diverso.
    >
    > Strano come molte delle falle di IE non vengano
    > corrette ma venga suggerito "Disattivare
    > Javascript" o "Disattivare ActiveX". A te non
    > sembra strano, dover pagare un prodotto e non
    > vederselo riparare quando si scopre una
    > vulnerabilità?

    Mica ho detto che IE è messo meglio ho detto che Firefox non è così sicuro come molti pensano da quando è uscito è stato inondato di security advisories da ogni dove.

  • - Scritto da: TheLoneGunman
    >
    > - Scritto da:
    > > Allora diciamo che il numero di bug
    > > scoperti è proporzionale ecc. ecc. Che è
    > > diverso.
    > >
    > > Strano come molte delle falle di IE non vengano
    > > corrette ma venga suggerito "Disattivare
    > > Javascript" o "Disattivare ActiveX". A te non
    > > sembra strano, dover pagare un prodotto e non
    > > vederselo riparare quando si scopre una
    > > vulnerabilità?
    >
    > Mica ho detto che IE è messo meglio ho detto che
    > Firefox non è così sicuro come molti pensano da
    > quando è uscito è stato inondato di security
    > advisories da ogni
    > dove.

    Quello che davvero mi interessa e' che con firefox ho constatato che trovo molte meno schifezze nel pc quando faccio le scansioni...
    Quindi Get the facts....
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da: TheLoneGunman
    > >
    > > - Scritto da:
    > > > Allora diciamo che il numero di bug
    > > > scoperti è proporzionale ecc. ecc. Che
    > è
    > > > diverso.
    > > >
    > > > Strano come molte delle falle di IE non
    > vengano
    > > > corrette ma venga suggerito "Disattivare
    > > > Javascript" o "Disattivare ActiveX". A te non
    > > > sembra strano, dover pagare un prodotto e non
    > > > vederselo riparare quando si scopre una
    > > > vulnerabilità?
    > >
    > > Mica ho detto che IE è messo meglio ho detto che
    > > Firefox non è così sicuro come molti pensano da
    > > quando è uscito è stato inondato di security
    > > advisories da ogni
    > > dove.
    >
    > Quello che davvero mi interessa e' che con
    > firefox ho constatato che trovo molte meno
    > schifezze nel pc quando faccio le
    > scansioni...
    > Quindi Get the facts....

    Ma no, è colpa tua, perché non hai installato anche 2 anti virus, 3 antispyware, 5 firewall di cui due hardware, e non fai la deframmentazione ogni mezz'ora.

    E scommetto che hai anche una partizione Linux, vero? Eh, quelle attirano i virus come non mai, la fanno apposta perché sono talebani comunisti e vogliono screditare MS.

    Windows è facile da usare, ma se non lo sai usare imparalo!

    (Scusate la trollataA bocca aperta)
    non+autenticato
  • - Scritto da:
    > - Scritto da:
    > > - Scritto da: TheLoneGunman
    > > > - Scritto da:
    > > > > Allora diciamo che il numero di bug
    > > > > scoperti è proporzionale ecc. ecc.
    > Che
    > > è
    > > > > diverso.
    > > > >
    > > > > Strano come molte delle falle di IE non
    > > vengano
    > > > > corrette ma venga suggerito "Disattivare
    > > > > Javascript" o "Disattivare ActiveX". A te
    > non
    > > > > sembra strano, dover pagare un prodotto e
    > non
    > > > > vederselo riparare quando si scopre una
    > > > > vulnerabilità?
    > > >
    > > > Mica ho detto che IE è messo meglio ho detto
    > che
    > > > Firefox non è così sicuro come molti pensano
    > da
    > > > quando è uscito è stato inondato di security
    > > > advisories da ogni
    > > > dove.
    > >
    > > Quello che davvero mi interessa e' che con
    > > firefox ho constatato che trovo molte meno
    > > schifezze nel pc quando faccio le
    > > scansioni...
    > > Quindi Get the facts....
    >
    > Ma no, è colpa tua, perché non hai installato
    > anche 2 anti virus, 3 antispyware, 5 firewall di
    > cui due hardware, e non fai la deframmentazione
    > ogni
    > mezz'ora.

    Scusa, ma se non avessi 2 anti virus, 3 antispyware, 5 firewall come farei ad andare in internet con windows ?
    Rotola dal ridere


    >
    > E scommetto che hai anche una partizione
    > Linux
    , vero? Eh, quelle attirano i virus come
    > non mai, la fanno apposta perché sono talebani
    > comunisti e vogliono screditare
    > MS.
    >
    > Windows è facile da usare, ma se non lo sai
    > usare imparalo!
    >
    > (Scusate la trollataA bocca aperta)
    non+autenticato
  • attenzione: è finalmente dimostrato che la microsfot ha raggiunto livelli invidiabili di sicurezza: oggi, sabato 18 Giugno 2006, una data che segna un epoca, NON SI HA NOTIZIA, infatti, DI ADVISORY RELATIVI A SCHIFEZZE !!

    incredibile ! segnatevi questo evento più unico che raro: un'intera giornata senza che una schifezza in più vada a impestare il vostro sistemone XPuzz (perlomeno ufficialmente, poi come si sa c'è tutto un commercio di ameboidi reconditi di xp che strisciano al di sotto del livello secunia) !!!

    i vinari italioti tirano un sospiro di sollievo...ma sanno che domani è un altro giorno (di sfiga)

    non+autenticato
  • Ha chiuso come trollata un intero ramo di un thread che ricordava una figura barbina del panzone e ridicolizzava lui e i suoi teneri fan che fingevano di non ricordare.
    non+autenticato
  • a tutti quelli che rompono le scatole coi loro linux, unix e paccOsx, vorrei dire che ho appena visto un documentario, sul canale Discovery Science, su aerei militari telecomandati ad alta tecnologia, e che sistema c'era sul pannello di controllo dell'operatore che li guida in remoto con cui riceve le immagini, sgangia bombe, lancia funzioni e riceve i dati???? WINDOWS!!!! ora mutismo Ficoso
    non+autenticato

  • - Scritto da:
    > a tutti quelli che rompono le scatole coi loro
    > linux, unix e paccOsx, vorrei dire che ho appena
    > visto un documentario, sul canale Discovery
    > Science, su aerei militari telecomandati ad alta
    > tecnologia, e che sistema c'era sul pannello di
    > controllo dell'operatore che li guida in remoto
    > con cui riceve le immagini, sgangia bombe, lancia
    > funzioni e riceve i dati???? WINDOWS!!!! ora
    > mutismo
    >Ficoso

    Ah, sarà per questo che un paio di volte hanno sterminato al gran completo i partecipanti a dei matrimoni, sposi, testimoni e suoceri compresi...
    non+autenticato
  • - Scritto da:
    > Ah, sarà per questo che un paio di volte hanno
    > sterminato al gran completo i partecipanti a dei
    > matrimoni, sposi, testimoni e suoceri
    > compresi...

    Le famose "bombe intelligenti" che sono tutt'altro che intelligenti. Che la causa sia davvero Windows?Perplesso
    non+autenticato
  • > su aerei militari telecomandati ad alta > tecnologia,

    di che nazione stai parlando ?
    forse dello sputtanatissimo esercito americano
    che con i suoi telecomandi windows sviluppati con centinaia di miliardi di dollari buttati via in cessi alla windows, le sta prendendo da tutti i beduini di questo mondo ?

    non+autenticato

  • - Scritto da:
    > a tutti quelli che rompono le scatole coi loro
    > linux, unix e paccOsx, vorrei dire che ho appena
    > visto un documentario, sul canale Discovery
    > Science, su aerei militari telecomandati ad alta
    > tecnologia, e che sistema c'era sul pannello di
    > controllo dell'operatore che li guida in remoto
    > con cui riceve le immagini, sgangia bombe, lancia
    > funzioni e riceve i dati???? WINDOWS!!!! ora
    > mutismo
    >Ficoso


    E' ovvio... così se qualcosa va storto sanno a chi dare la colpa...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)