Nuove falle in IE, a rischio file e clipboard

Esperti annunciano di aver scoperto due nuove falle di IE che potrebbero consentire ad un malintenzionato di leggere il contenuto di un file o della clipboard

Israele - La societÓ di sicurezza israeliana GreyMagic Software sostiene di aver scoperto due nuove vulnerabilitÓ di sicurezza di Internet Explorer che vanno ad aggiungersi alle altre sette scoperte dalla stessa azienda negli ultimi mesi. Delle nove vulnerabilitÓ elencate da GreyMagic in questo advisory, le sette pi¨ vecchie sono state patchate da Microsoft con il rilascio del recente Service Pack 1 per IE6.

L'azienda israeliana ha spiegato che le due nuove falle, che interessano IE5.5 e IE6, possono consentire ad un aggressore, attraverso poche righe di codice, di leggere e scrivere nella clipboard di Windows, di leggere i cooky, di contraffare le URL, di leggere il contenuto di file locali e, nel caso pi¨ grave, eseguire codice.

Sul proprio sito GreyMagic fornisce una dimostrazione di come sia possibile sfruttare queste falle: facendo una prova con Windows XP SP1 e IE6 SP1 si Ŕ potuto verificare che il sistema risulta protetto dalle sette falle meno recenti ma vulnerabile alle due pi¨ recenti, denominate "external" e "clipboardData". Nella dimostrazione, gli script di GreyMagic sono stati capaci di leggere un file di testo locale archiviato sul disco C e di leggere e scrivere nella clipboard di Windows XP.
L'azienda suggerisce agli utenti che ancora non lo avessero fatto di installare quanto prima i service pack pi¨ aggiornati per la loro versione di IE (5.5 o 6) e di disattivare, in attesa che Microsoft rilasci le patch anche per le ultime due vulnerabilitÓ, l'Active Scripting.

Microsoft non ha ancora confermato l'esistenza delle due vulnerabilitÓ, ma Ŕ stata pronta nel dichiarare che GreyMagic, divulgando prima del tempo i dettagli sulle vulnerabilitÓ, mette a repentaglio la sicurezza degli utenti. L'azienda israeliana si Ŕ difesa dichiarando che in passato "notificare Microsoft con anticipo e attendere il rilascio di una patch si Ŕ rivelato non produttivo".
TAG: sicurezza
38 Commenti alla Notizia Nuove falle in IE, a rischio file e clipboard
Ordina
  • ...e poi si sa... nella botte piccola c'è il vino buono
    non+autenticato


  • - Scritto da: ToioX
    > ...e poi si sa... nella botte piccola c'è il
    > vino buono
    che competenza ,che arguzia !
    ROTFL
    non+autenticato
  • Possibile non vedere le differenze?
    Altro che un bug al giorno per entrambi!
    non+autenticato
  • Dentro c'e' sempre roba personalissima. Li odio
    non+autenticato


  • - Scritto da: Privacy
    > Dentro c'e' sempre roba personalissima. Li
    > odio

    anch'io, soprattutto quando mi leggono i nomi delle icone, dannati.
    non+autenticato
  • però le falle di win, tutte le volte, consentono l'esecuzione arbitraria di codice.

    Eppure tutti lo difendono.

    I bug di debian woody consentono TUTTI l'esecuzione arbitraria di codice ? NO. In win viene scoperto un nuovo bug grave come questo ogni giorno. Eppure la gente paga un mucchio di soldi per win.
    non+autenticato


  • - Scritto da: D & B
    > però le falle di win, tutte le volte,
    > consentono l'esecuzione arbitraria di
    > codice.
    >
    > Eppure tutti lo difendono.
    >
    > I bug di debian woody consentono TUTTI
    > l'esecuzione arbitraria di codice ? NO. In
    > win viene scoperto un nuovo bug grave come
    > questo ogni giorno. Eppure la gente paga un
    > mucchio di soldi per win.

    L'unico costo di windows è il cd vergine sul quale copiarlo e l'unico motivo per cui viene usato è che la massa NON SA che esiste più di un'alternativa.
    non+autenticato


  • > L'unico costo di windows è il cd vergine sul
    > quale copiarlo e l'unico motivo per cui
    > viene usato è che la massa NON SA che esiste
    > più di un'alternativa.

    Uahahah, in realtà molti lo sanno, ma "quello li, un amico mio che è veramente un genio dei pc, mi ha detto che linux è difficile, quindi anche se tu mi dici che è facile non è vero"

    Io intanto quando questi individui non riescono a far funzionare masterizzatore e scheda audio *contemporaneamente* per un fantomatico "conflitto IRQ" me la rido con le mie 50 periferiche taiwanesi tutte funzionanti... eheheh

    non+autenticato
  • Su dai non e' vero,
    riprova a domandare al tuo amico genio oggi, almeno che non sia rimasto ad una slackware 2.0, oramai linux si installa e si configura abbastanza facilmente, sempre che l'hw sia supportato..
    Per i conflitti, non ho mai sentito problemi tra masterizzatore e modem.. io ho visto una volta un problema su un acer laptop, tra scheda di rete e modem, se la rete e' su, niente modem, quando vuoi il modem, devi "spegnere" la rete (anche se il cavo non e' connesso). Ma questo credo non succeda piu', visto che sul mio Compaq laptop tutto va da dioSorride

    Alex
    non+autenticato
  • Mi hai frainteso. L'amico genio è quello che ai winzozzari medi consiglia che "linux è difficile"Sorride)

    Io ho debian che fa girare scheda tv (che da win on si installa) scanner da 50 euro e masterizzatore 24x senza una virgola. Non ho amici geni e mi ritengo fortunatoCon la lingua fuori

    Invece ho parecchi amici winzozzoniSorride Ognuno ha il suo problema di conflitti di IRQ (inesistenti, sono conflitti di driver), e ognuno dice che "windows è meglio". Ca**i loro...
    non+autenticato
  • - Scritto da: Piratone
    Cut
    >
    > Invece ho parecchi amici winzozzoniSorride
    > Ognuno ha il suo problema di conflitti di
    > IRQ (inesistenti, sono conflitti di driver),
    > e ognuno dice che "windows è meglio". Ca**i
    > loro...
    >
    Ma pensa.... certo che e' strano che io istallando per lavoro Win2k su un cospicuo numero di PC, anche molto diversi da loro, non abbia mai lasciato un PC con una periferica non funzionante.

    Saro' un fortunelloOcchiolino

    Ciao,
    Me
    non+autenticato
  • Lascia perdere, parlare con chi lavora su Linux è come pretendere di farsi ascoltare da un muro. Sono tutti rimasti ai luoghi comuni: schermo blu, plug'n' pray e altre puttanate del genere.
    non+autenticato
  • - Scritto da: mag
    > Lascia perdere, parlare con chi lavora su
    > Linux è come pretendere di farsi ascoltare
    > da un muro. Sono tutti rimasti ai luoghi
    > comuni: schermo blu, plug'n' pray e altre
    > puttanate del genere.

    Allora parliamo di fatti:

    - Il mio portatile aziendale con win2k in 1 anno si è piantato (schermata blu e riavvio) solo 1 volta, mentre spesso lo devo riavviare perchè diventa terribilmente lento senza motivo apparente (ad occhio, pare che "Forte for java 4.0" e "Icq Lite" insieme non vogliano proprio stare, ma potrebbe essere anche un problema dei driver che, purtroppo, per questo portatile non c'erano tutti e ho la scheda video "monca"), posso parlare di 'plug and pray' o il fatto che l'hardware sia "designed forn win98" mi obbliga a comprare un portatile nuovo se voglio win2k? Anche se ammetto che win2k è più stabile dei predecessori, e di molto.


    - La mia macchinetta di casa da 1,5 anni con Debian NON si è mai piantata, e ci faccio più esperimenti di quanti ne faccia in ufficio.. compreso far girare un container EJB su un k6 150 Mhz.


    - Il passaggio definitivo della macchina di casa alla Debian è avvenuto grazie al mio sconsiderato acquisto di un CD di installazione della Win Me...
    Vado in negozio, mi compro la mia bella scatolina (sigh... quanti soldi... non ho voluto prenderla pirata e, col senno di poi, ho fatto una corbelleria) arrivo a casa col CD e mi metto davanti al mio dual boot win98SE (pagata anche lei, ma rispetto alla Me almeno un paio di mila lire le valeva)/Mandrake..
    fdisk
    format (ciao ciao, Mandrake, è stato bello ma negli esperimenti non ci si ferma mai)
    setup.exe....
    Dopo l'installazione riavvio la macchina e.... "sorpresa!" la stramaledetta winMe si rifiuta di vedere il lettore CD e il floppy.. oltre alla mia amata scheda sonora.
    Serie di imprecazioni, recupera la prima distro Linux a portata di mano.. Debian.. bootdisk, rootdisk... Fatto!

    Ora.. saremo rimasti all'età della pietra.. ma se quello non era "plug and pray"... e si parla di un anno e mezzo fa, mica secoli.



    Saluti,
        Ryo Takatsuki
    "Arridateme il coniglio Bianco"
    non+autenticato


  • - Scritto da: Jabbawack
    >
    > Allora parliamo di fatti:
    >
    > - Il mio portatile aziendale con win2k in 1
    > anno si è piantato (schermata blu e riavvio)
    > solo 1 volta, mentre spesso lo devo
    Cut
    >
    Allora, che Linux funzioni bene io non lo discuto.
    Gira su HW Pc e quindi e un mio amicoOcchiolino

    Qui si discuteva sul fatto che alcuni luoghi comuni su Win sono oramai da sfatare.

    Parli di portatili datati? ho istallato 2k Pro su un Acer Travelmate 512DX e un 505T, sul 512 non ho dovuto nemmeno fare nulla tanto che i driver erano tutti gia' nel pacchetto di default di 2k. Per il 505T, ricerchina in internet e tutto funziona perfettamete.

    Nota che entrambi sono Ready for 9X e basta.

    E 2K a detta di tutti e' il piu' rognoso dei sietemi M$ per quanto riguarda la reperebilita' dei driver. Anche perche' essendo il miglior sistema che M$ ha sfornato, quest'ultima si e' guardata bene dal difenderne le quote di mercato nel mondo Client/Home...ma questo e' un'altro discorso.

    Sul tuo caso specifico non so cosa dire, visto che non citi ne caratteristiche ne modello, ti posso dire pero' che se l'HW che c'e' sotto e buono e i driver sono come si deve (la qual cosa non dipende solo da M$) di problemi ne hai ben pochi....mi verrebbe da dire nessuno, pensando a 2k, ma mi sembrerebbe francamente di essere un po' esagerato.Sorride

    My 2 Cents

    Ciao,
    Me
    non+autenticato
  • - Scritto da: Akira
    > Allora, che Linux funzioni bene io non lo
    > discuto.
    > Gira su HW Pc e quindi e un mio amicoOcchiolino
    ...
    > Qui si discuteva sul fatto che alcuni luoghi
    > comuni su Win sono oramai da sfatare.

    Ok, volevo solo far notare che il "plug and pray"
    non è solo un luogo coumne, anche il "servitissimo" windows può dare problemi di driver/conflitti; mentre sono contento perchè nel passaggio dalla 98 ad NT4 e, soprattutto, a 2000 la quantità dei BSOD è calata vistosamente.

    [CUT]
    > Sul tuo caso specifico non so cosa dire,
    > visto che non citi ne caratteristiche ne
    > modello,

    Toshiba satellite.. oggi controllo se l'hardware è supportato e ci installo la RedHat 8 (ho sottomano solo questa e posso fare l'installazione solo oggi perchè Lunedi devo iniziare un nuovo progetto, non riesco a ricavarmi, tra oggi e domani, il tempo necessario ad intallare una Debian come si deve)

    >....mi verrebbe
    > da dire nessuno, pensando a 2k, ma mi
    > sembrerebbe francamente di essere un po'
    > esagerato.Sorride

    Mah, grossi problemi non me li ha mai dati, l'unica cosa è che se Forte for java 4 e Icq sono attivi insieme dopo un po' (e succede solo con Icq, almeno sulla mia macchina) Forte comincia a "mangiare" Ram.. non so perchè succeda, ma è frustrante trovarti un sistema che diventa man mano più lento.
    Sui driver... non ho trovato quelli relativi alla scheda video (quando ho messo il win2k, nel settmbre 2001) e ho dovuto mettere quelli del modello precedente, che funzionano ma non so quanti problemi possano dare realmente, quindi ho lasciato aperto il dubbio che in realtà l'instabilità che colpisce a volte la macchina sia dovuta al driver inappropriato.

    Per quanto riguarda Win2k.. ho usato WinXP(okémon) solo per una settimana, e sinceramente trovo che il win2k sia il migliore OS che la M$ abbia sfornato negli ultimi anni.


    Saluti,
        Ryo Takatsuki
    "Ma se il Coniglio Bianco ha resistito ad un esplosione nucleare, che senso ha lanciare un missile contro Jabawack che è pure più potente?"
    non+autenticato


  • > Sul tuo caso specifico non so cosa dire,
    > visto che non citi ne caratteristiche ne
    > modello, ti posso dire pero' che se l'HW che
    > c'e' sotto e buono

    Soliti luoghi comuni. L'hardware non è "più buono" o "meno buono". Un hard disk si, un monitor si, ma una scheda tv o uno scanner, che sia trust da 100000 o canon da 500000 (lire ovvioSorride) è un giocattolone di plastica.

    Cmq da win a me ha dato un sacco di problemi anche la stampante epson. Semplicemente non stampava, ma faceva piantare il sistema. Posso capire che ho SOLO win98SE, ma perchè dovrei comprarne un altro?

    Da debian mi funziona tutto. Come diceva jabbawack, inserire il cd, installare, riavviare.

    Basta.

    Fatto questo, se vuoi, puoi anche non riavviare più.

    Capisci cosa significa, qual'è la differenza ? La tranquillità di sapere cosa succede nel sistema, di poter controllare in qualsiasi momento, di poter aggiornare il sistema senza timore di vederlo piantare, e MENTRE si gioca, si masterizza o si lavora. E SENZA RIAVVIARE DOPO L'AGGIORNAMENTO.

    E' diverso.





    non+autenticato