IE, rilasciata patch per bug VML

Microsoft ha iniziato a distribuire la patch per la recente vulnerabilità zero-day di Internet Explorer

Roma - Microsoft ha pubblicato la patch che risolve l'ormai famosa vulnerabilità di Internet Explorer legata al Vector Markup Language (VML). L'aggiornamento è descritto nel bollettino MS06-055 ed è classificato critical.

Com'era divenuto evidente negli ultimi giorni, il big di Redmond ha scelto di distribuire la patch al di fuori del tradizionale ciclo mensile degli aggiornamenti, che prevede la pubblicazione dei prossimi bollettini di sicurezza il 10 ottobre. Una scelta dettata dalla rapidità con cui in Rete si stanno diffondendo risorse che sfruttano il bug per installare sui PC spyware, adware, trojan e altri tipi di malware.

La patch, che si applica a IE 5.x e 6 su Windows XP e Server 2003, può essere scaricata manualmente dai link forniti nel bollettino di Microsoft o installata automaticamente per mezzo di Windows Update o Aggiornamenti automatici.
19 Commenti alla Notizia IE, rilasciata patch per bug VML
Ordina
  • TITLE:
    Microsoft Internet Explorer "WebViewFolderIcon" Integer Overflow

    SECUNIA ADVISORY ID:
    SA22159

    VERIFY ADVISORY:
    http://secunia.com/advisories/22159/

    CRITICAL:
    Extremely critical

    IMPACT:
    System access

    WHERE:
    From remote

    SOFTWARE:
    Microsoft Internet Explorer 6.x
    http://secunia.com/product/11/

    DESCRIPTION:
    H D Moore has discovered a vulnerability in Microsoft Internet Explorer, which can be exploited by malicious people to compromise a user's system.

    The vulnerability is caused due to an integer overflow error in the "setSlice()" method in the "WebViewFolderIcon" ActiveX control. This can be exploited to corrupt memory when e.g. visiting a malicious web site.

    Successful exploitation allows execution of arbitrary code.

    NOTE: Exploit code is publicly available.

    The vulnerability has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2. Other versions may also be affected.

    SOLUTION:
    Only allow trusted websites to run ActiveX controls.

    PROVIDED AND/OR DISCOVERED BY:
    H D Moore

    ORIGINAL ADVISORY:
    H D Moore:
    http://browserfun.blogspot.com/2006/07/mobb-18-web...

  • Chi usa IE merita di venir bucato
    non+autenticato

  • - Scritto da: lalla63
    > SOFTWARE:
    > Microsoft Internet Explorer 6.x

    Io ho effettuato il test sul sito con Windows Internet Explorer 7 RC1 e va in crash Sorpresa, come mai la falla viene indicata solo per la versione 6.x?
    non+autenticato


  • >
    > Io ho effettuato il test sul sito con Windows
    > Internet Explorer 7 RC1 e va in crash Sorpresa, come
    > mai la falla viene indicata solo per la versione
    > 6.x?

    Confermato, IE7rc1 su Xp sp2 crasha.
    Ma IE7 non ha disabilitato gli activeX e non lavora in zona protetta a bassi privilegi??
    Ie7 parte proprio sotto i migliori auspici
    non+autenticato
  • Con Vista RC1 e IE7 nessun problema.
    non+autenticato
  • "La patch, che si applica a IE 5.x e 6 su Windows XP e Server 2003"

    si applica anche (almeno) su Windows 2000
    non+autenticato

  • - Scritto da:
    > si applica anche (almeno) su Windows 2000

    usi ancora quella groviera di win2k ? Passa almeno a WinXP SP2
    non+autenticato

  • - Scritto da:

    > usi ancora quella groviera di win2k ? Passa
    > almeno a WinXP
    > SP2

    Sei ot
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > si applica anche (almeno) su Windows 2000
    >
    > usi ancora quella groviera di win2k ? Passa
    > almeno a WinXP
    > SP2

    w2k sp4 è il sistema più potente che esista...
    non+autenticato

  • - Scritto da:
    > w2k sp4 è il sistema più potente che esista...

    peccato che non abbia uno straccio di tecnologie di sicurezza
    non+autenticato

  • - Scritto da:

    > peccato che non abbia uno straccio di tecnologie
    > di
    > sicurezza

    Windows update funziona correntemente su W2000.

    L'unica differenza con win XP (citato sopra) è che win2000 non ha il firewall di M$, ma se tu credi che ci si debba affidare a quello per la sicurezza, non sto nemmeno a perdere tempo..
    non+autenticato
  • che mi dici sul DEP Data Execution Prevention?
    non+autenticato

  • - Scritto da:
    > che mi dici sul DEP Data Execution Prevention?

    Un qualcosina in più di XP, ma entra in azione quando qualcosa è già arrivato nel tuo disco...

    Comunque, non sccherziamo, lo SH per sviluppare non usano XP ma 2000

    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > che mi dici sul DEP Data Execution Prevention?
    >
    > Un qualcosina in più di XP, ma entra in azione
    > quando qualcosa è già arrivato nel tuo
    > disco...
    >
    > Comunque, non sccherziamo, lo SH per sviluppare
    > non usano XP ma
    > 2000
    >

    Forse lo fanno per la gui un po' più seria.. ogni nuovo prodotto di m$ è un passo indietro in questo campo.. comunque motivi tecnici non ce ne sono.. apparte di voler rimanere compatibili con questa massa di gente che usa win2k perchè gli è stato detto che è tanto ganzo.. (e lo dice un ex user di win2k dal 2000.. quando era sempre in beta)
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > >
    > > - Scritto da:
    > > > che mi dici sul DEP Data Execution Prevention?
    > >
    > > Un qualcosina in più di XP, ma entra in azione
    > > quando qualcosa è già arrivato nel tuo
    > > disco...
    > >
    > > Comunque, non sccherziamo, lo SH per sviluppare
    > > non usano XP ma
    > > 2000
    > >
    >
    > Forse lo fanno per la gui un po' più seria.. ogni
    > nuovo prodotto di m$ è un passo indietro in
    > questo campo.. comunque motivi tecnici non ce ne
    > sono.. apparte di voler rimanere compatibili con
    > questa massa di gente che usa win2k perchè gli è
    > stato detto che è tanto ganzo.. (e lo dice un ex
    > user di win2k dal 2000.. quando era sempre in
    > beta)

    Ma non è vero che usano W2K. E' un s.o. a fine ciclo di vita. Se lo fanno è perchè sono taccagni e non vogliono spendere. Noi usiamo XP, Vista e 2003 sui server.

    Non sono neanche d'accordo che ogni nuovo s.o. è un passo indietro nella GUI. Casomai è il contrario. Eppoi se vuoi puoi avere la GUI di 2000 anche su XP e Vista.

    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > >
    > > - Scritto da:
    > > > si applica anche (almeno) su Windows 2000
    > >
    > > usi ancora quella groviera di win2k ? Passa
    > > almeno a WinXP
    > > SP2
    >
    > w2k sp4 è il sistema più potente che esista...


    Mmmhh.. secondo me ti confondi con windows 3.1
    non+autenticato