Voragine di sicurezza in Internet Explorer

Scoperto un megabuco in IE e Outlook che pu˛ seminare per la rete file, password e cookie archiviati sul PC di un utente. Patch ancora in gestazione. C'Ŕ chi accusa il bug hunter che ha rilasciato la notizia. I dettagli

Voragine di sicurezza in Internet ExplorerNewport Beach (USA) - Ha tutta l'aria di una bomba ad orologeria quella appena innescata dalla divulgazione, da parte del ricercatore di sicurezza danese Thor Larholm, di una voragine scoperta di recente in Internet Explorer, Outlook e Outlook Express. La vulnerabilitÓ, descritta in un advisory pubblicato da PivX Solutions - societÓ di sicurezza con cui Larholm collabora -, pu˛ essere sfruttata attraverso script inclusi in oggetti HTML che rendono possibile, per un aggressore, elevare i propri privilegi, leggere file e cookie o eseguire programmi che si trovino sul computer dell'utente.

Secondo l'esperto di sicurezza, un aggressore Ŕ in grado di compiere queste azioni semplicemente inducendo l'utente a cliccare su di un link apparentemente innocuo incluso in un documento Web o in una e-mail in formato HTML. PivX ha pubblicato alcuni esempi all'interno del proprio avviso di sicurezza: lettura di cookie, lettura di file ed esecuzione di comandi.

La falla, appartenente alla tipologia denominata "cross-domain scripting", Ŕ stata scoperta da Larholm il 25 giugno: lo stesso giorno il ricercatore sostiene di aver segnalato il problema a Microsoft. Lo scorso mercoledý, dunque a due settimane dalla scoperta, Larholm ha deciso di pubblicare, nonostante l'assenza di una patch, il codice dell'exploit con cui Ŕ possibile sfruttare la vulnerabilitÓ.
"Dato che Ŕ possibile che la cosa sia giÓ di pubblico dominio - si Ŕ giustificato Larholm - ho deciso di rilasciare questo avviso dopo solo due settimane di tempo".

Microsoft, che ha giudicato la decisione di Larholm "irresponsabile", ha fortemente criticato la scelta del ricercatore di pubblicare i dettagli del problema prima che questo sia stato risolto. Il big di Redmond, che ha ammesso la gravitÓ del bug, ha voluto precisare che esistono fattori mitiganti legati al problema non citati nell'advisory di PivX: in particolare, il big di Redmond ha spiegato che sono afflitti dalla vulnerabilitÓ solo quelle versioni di Outlook e Outlook Express a cui non siano state applicate alcune vecchie patch di sicurezza. Gli utenti di Internet Explorer sembrano invece al riparo da attacchi solo se hanno configurato il livello di protezione del proprio browser su "Siti attendibili": un'impostazione "estrema" utilizzata solo da una piccolissima fetta di utenti.

In attesa che Microsoft rilasci una patch, Larholm raccomanda agli utenti di IE di disabilitare i controlli ActiveX nelle impostazioni di sicurezza del proprio browser. Le versioni di IE in cui Ŕ stata accertata la vulnerabilitÓ sono la 6.0 e la 5.5 per Windows (98, XP, NT4, 2000).
TAG: microsoft
287 Commenti alla Notizia Voragine di sicurezza in Internet Explorer
Ordina
  • Non mi vorrei sbagliare ma analizzando il codice sul sito pivx, mi pare che questo baco fosse stato segnalato su bugtraq almeno 4 mesi fa!
    non+autenticato
  • microsoft non può pensare di macinare gigabyte di codice senza adeguate prove e test, mi immagino posti dove la sicurezza deve essere totale, banche, presidi militari, ...........
    non+autenticato
  • BASTA !!!
    OGNI GIORNO UN NUOVO BACO !!
    MA CHE GENTE LAVORA ALLA MICROSOFT ???
    BILL GATES, CON TUTTI I TRILIARDI CHE
    HA GUADAGNATO, E' ORA CHE ASSUMA GENTE
    SERIA E LA FINISCA DI VENDERCI CODICE
    CHE NON VALE UN @@@@@ !!!!!!!!!!!!!

    VERGOGNA !!!!!!
    non+autenticato
  • LA ms E' SPECIALIZZATA NEL COSTRUIRE BUG
    E QUESTA LA SU OCCUPAZIONE PRINCIPALE ANCHE PERCHE LA MASSA VUOLE I PROGRAMMI BAGATE E NON INTERESSANO LE COSE FATTE BENE.
    MARFIL
    LINUX GENERATION
    non+autenticato
  • Che se ne fanno di una patch? La maggior parte di quelli che ho letto in questo forum hanno bisogno di una patch al cervello e per loro un grave bug sul PC o sulla PS2 non fa differenza.

    In effetti la gravità di questo buco è enorme e tutti dovrebbero mettersi al riparo come suggerito dall'autore dell'exploit.

    Funziona e bene su qualunque browser 5.5 e 6 (non ne ho altri) e se foste in grado di inserire i path giusti per il vostro SO forse ve ne accorgereste anche voi.

    Questo buco NON è come leggere da locale i files del vostro HD e mostrarli in una pagina HTML. Anche se la gente che ha abboccato a quello stupido javascript dirà: "Ah! Ah! Stavolta non ci casco."

    E quelli con i browser vecchi poi?!!!
    Non siate ridicoli, IE4 codename Emmenthal NON è sicuro!
    non+autenticato
  • >
    > Funziona e bene su qualunque browser 5.5 e 6
    > (non ne ho altri) e se foste in grado di
    > inserire i path giusti per il vostro SO
    > forse ve ne accorgereste anche voi.
    >
    > Questo buco NON è come leggere da locale i
    > files del vostro HD e mostrarli in una
    > pagina HTML. Anche se la gente che ha
    > abboccato a quello stupido javascript dirà:
    > "Ah! Ah! Stavolta non ci casco."
    >
    > E quelli con i browser vecchi poi?!!!
    > Non siate ridicoli, IE4 codename Emmenthal
    > NON è sicuro!

    Confermo che NON si tratta di una bufala.
    IE5 è immune dal problema.
    Per proteggere IE5.5 e IE6 è sufficiente alzare il livello di sicurezza abilitando solo ed unicamente l'impostazione ActiveX relativa ai plugin (la prima della lista,per poter vedere le Flash).

    Ciao
    GrilloParlante



    non+autenticato
  • .... andate all'opera!

    Bravi bravi... buttate via win piuttosto e smetterete di dover frignare... mo venitemi a parlare del buco dell'ssh... fa molto agli utenti domestici, invece il sistema principe delle utenze domestiche...

    andate piuttosto a scrivere virus per mozilla windowsiani va vediamo che sapete fare...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | Successiva
(pagina 1/9 - 44 discussioni)