Visual Studio 2005 bucato da un ActiveX

Insieme a Visual Studio 2005 viene distribuito un controllo ActiveX che contiene una seria falla di sicurezza. Gli utenti di Internet Explorer potrebbero cadere vittima di siti web malintenzionati

Redmond (USA) - Con un recente advisory di sicurezza, Microsoft ha avvisato i propri utenti di una pericolosa vulnerabilità zero-day in Visual Studio 2005, vulnerabilità che ha come vettore di attacco Internet Explorer.

Il problema, considerato da Secunia "estremamente critico", è causato da un errore nel controllo ActiveX WMI Object Broker (WmiScriptUtils.dll). Un sito web malintenzionato potrebbe sfruttare il bug per eseguire del codice da remoto e prendere il controllo del sistema vulnerabile.

A correre dei rischi sono coloro che utilizzano Internet Explorer, soprattutto le versioni 5.x e 6. Con la versione 7 il pericolo è significativamente mitigato dal fatto che il controllo WMI Object Broker viene automaticamente bloccato dalla funzionalità ActiveX Opt-in: per eseguirlo, l'utente deve espressamente autorizzarne l'attivazione.
Del tutto immune al problema Windows Server 2003, che nella sua configurazione predefinita non permette l'esecuzione di ActiveX.

Microsoft e gli esperti di sicurezza hanno avvertito che su Internet sta già circolando un exploit capace di sfruttare la debolezza. Per difendersi è possibile adottare una delle misure suggerite nell'advisory di Microsoft o in questo di FrSIRT.
22 Commenti alla Notizia Visual Studio 2005 bucato da un ActiveX
Ordina

  • - Scritto da:
    > http://www.microsoft.com/technet/security/advisory
    > http://secunia.com/advisories/22687/
    >
    > E meno male che IE7 doveva essere sicurissimo!
    > Ah ah ah ah!
    > Sicurissimo di essere fallato
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Ma sei sicuro che abbia a che fare con IE7?
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > >
    > http://www.microsoft.com/technet/security/advisory
    > > http://secunia.com/advisories/22687/
    > >
    > > E meno male che IE7 doveva essere sicurissimo!
    > > Ah ah ah ah!
    > > Sicurissimo di essere fallato
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Ma sei sicuro che abbia a che fare con IE7?

    IE6 e 7 comunque fanno passare il FALLO
    non+autenticato
  • niente di grave!

    basta usare firefox Idea!
    non+autenticato

  • - Scritto da:
    > niente di grave!
    >
    > basta usare firefox Idea!

    veramente anche se usi IE7 non ti fai niente, perchè al primo sito che ti vuole abilitare quell'activex sei tu a deciderlo e devi autorizzarlo tramite la barra informativa. Quindi gli dirai di no oppure ignorerai l'avviso

    Saluti da P4
    non+autenticato
  • ah bèh...per creare programmi con bug di serie...
    non+autenticato
  • E' un programma pessimo!
    non+autenticato

  • - Scritto da:
    > E' un programma pessimo!

    Ma quando mai... lo acclamano tutti, linari winari o macachi come l'IDE migliore che esiste sul mercato. La MS grazie a visual studio e .NET si è accaparrata una fetta enorme sul mercato sorpassando perfino java.

    C'è la versione express che ha avuto un successo PAUROSO tanto che volevano includere il setup nei DVD di vista (ma visto che visual studio non rispetta le guidelines di inclusione di vista non hanno potuto).
    non+autenticato
  • - Scritto da:
    >
    > Ma quando mai... lo acclamano tutti, linari
    > winari o macachi come l'IDE migliore che esiste
    > sul mercato. La MS grazie a visual studio e .NET
    > si è accaparrata una fetta enorme sul mercato
    > sorpassando perfino
    > java.

    Mah... se parliamo strettamente di IDE credo che Eclipse sia nettamente superiore... uso entrambi, e la produttività e comodità che ti dà Eclipse secondo me Visual Studio se la sogna. Certo, VS2005 ha alcuni tool nuovi simpatici, come il designer grafico delle classi (all'atto pratico inutilizzabile) o le finestrine traslucide che ti mostrano l'eccezione, ma Eclipse è molto più concreto.
    Il controllo in tempo reale della sintassi è molto più evoluto (e soprattutto funziona davvero), le funzioni di refactoring anche, per non parlare del fatto che in VS mancano funzioni banali come l'implementazione automatica dei getter e setter, degli override ecc.
    A mio parere, Eclipse è ancora l'IDE di riferimento... tutte le volte che sono su VS mi manca quella o quell'altra funzione di Eclipse... il viceversa guarda caso non avviene mai...Sorride

    > C'è la versione express che ha avuto un successo
    > PAUROSO tanto che volevano includere il setup nei
    > DVD di vista (ma visto che visual studio non
    > rispetta le guidelines di inclusione di vista non
    > hanno
    > potuto).

    Beh, questo è ovvio... si tratta comunque del più diffuso ambiente di sviluppo per il più diffuso sistema operativo... chiaro che se ne regalano una versione gratis, per quanto base, vada a ruba!
    non+autenticato

  • - Scritto da:
    > E' un programma pessimo!

    E allora perche' non ne fai uno migliore?
    TrollTroll occhiolinoTroll chiacchieroneTroll occhi di fuoriTroll di tutti i colori
    ryoga
    2003

  • - Scritto da: ryoga
    >
    > - Scritto da:
    > > E' un programma pessimo!
    >
    > E allora perche' non ne fai uno migliore?
    > TrollTroll occhiolinoTroll chiacchieroneTroll occhi di fuoriTroll di tutti i colori

    Ne avrà già fatti almeno una decina ma non vorrà pubblicarli perchè potrebbero stravolgere la programmazione come la conosciamo ora!
    non+autenticato
  • Il problema fondamentale è che non esistono più i veri programmatori...

    ...disegnare una cavolo di finestra, il bottone, ed avere la firma del metodo ormai sono un must per smanettoni VS della domenica...

    Probabilmente chi usa VS non è in grado di creare una GUI senza editor visuale... ergo, usano VB.

    Che definirlo linguaggio è un insulso alla scienza informatica.
    non+autenticato

  • - Scritto da:
    > Il problema fondamentale è che non esistono più i
    > veri
    > programmatori...
    >
    > ...disegnare una cavolo di finestra, il bottone,
    > ed avere la firma del metodo ormai sono un must
    > per smanettoni VS della
    > domenica...
    >
    > Probabilmente chi usa VS non è in grado di creare
    > una GUI senza editor visuale... ergo, usano
    > VB.
    >
    > Che definirlo linguaggio è un insulso alla
    > scienza
    > informatica.

    LA TUA IGNORANZA E' TALMENTE PALESE CHE FARESTI MEGLIO A TACERE. STUDIATI L'AMBIENTE .NET
    non+autenticato
  • il contrario semmai. Avere un buon editor che ti fa risparmiare la scrittura della parte grafica è importante per i professionisti che quando hanno tempi ristretti non si possono mettere a posizionare a mano i pulsanti ed i menu finchè non vanno bene. La conoscenza di quello che fa l'editor è comunque importante. In .Net la parte di creazione è visibile nella classe (con le classi parziali in .Net 2005 stanno in un file separato appartenente alla stessa classe).
    In alcuni casi diventa importante lavorare a mano (esempio aggiunta di pulsanti in modo dinamico) ma risulta comodo anche a mano.
    Quindi hai detto una marea di cretinate.
    Se pensi che saper fare a mano un form sia "programmare in .net", mi sa che hai capito male.
    Nel lavoro in .net mi capitano quotidianamente, a parte tutto il lato DB, parecchio uso delle classi di remoting (instanziazione di classi in rete condivise tra applicazioni), regular expression, multithreating (se devi fare un pò di conti non blocchi l'applicazione), serializzazione su XML delle classi (così salvi la classe intera come XML) e un paio di volte anche il codedom(la possibilità che la tua applicazione possa "programmarsi da sola" convertendo stringhe di testo in codice da compilare, linkare ed utilizzare) ed il refrection (la possibilità di accedere alla classi, interrogarle sulle funzioni e variabili esistenti ed utilizzare in modo dinamico, come uno script).
    Se .Net lo spremi bene può fare tutto, non parlare per aver sentito dire che si usa l'editor. Chi dice così è destinato a fare la fame come informatico
    non+autenticato
  • ah quanta ignoranza.
    non+autenticato

  • - Scritto da:
    > E' un programma pessimo!

    Se c'è una roba che M$ fa bene, sono gli strumenti di sviluppo.
    non+autenticato