Megapatch di IE corregge vecchi e nuovi bachi

Microsoft ha messo a disposizione per gli utenti di Internet Explorer una nuova patch cumulativa che sistema varie cose, compreso un recente problemino

Redmond (USA) - Microsoft ha rilasciato una nuova megapatch contenente tutte i fix di sicurezza usciti fino ad oggi per IE 5.5 e 6.0, inclusa una nuova patch che corregge una falla scoperta di recente.

Il nuovo bug, che affligge IE 5.5 e 6.0, è contenuto nel controllo di sicurezza per l'accesso ai dati a livello di dominio. A causa di questa vulnerabilità, IE può erroneamente consentire, in presenza di alcune pagine Web malevoli, ad un sito appartenente ad un dominio di accedere alle informazioni di un altro dominio di sicurezza, incluso quello tipicamente assegnato al computer locale dell'utente.

"Attraverso questa vulnerabilità - si apprende dal bollettino di sicurezza MS02-068 - un aggressore potrebbe essere in grado di leggere, ma non di modificare, qualsiasi file sul computer locale dell'utente". Oltre a questo, l'aggressore potrebbe lanciare un file eseguibile di cui conosca l'esatta locazione: fortunatamente non è possibile, secondo Microsoft, passare dei parametri al comando o al programma da eseguire.
La megapatch può essere scaricata manualmente da qui oppure attraverso Windows Update o la funzione di Aggiornamento Automatico presente in alcune versioni di Windows.

In concomitanza con questo aggiornamento di sicurezza Microsoft ha rilasciato un'altra patch, descritta nell'advisory MS02-067, che corregge un baco di Outlook 2002 in grado di causare, con alcune e-mail malformate, il blocco dell'applicazione.
TAG: microsoft
5 Commenti alla Notizia Megapatch di IE corregge vecchi e nuovi bachi
Ordina
  • Leggo su bugtraq questo intervento a firma di Thor Larholm (traduzione mia):

    In seguito alla diffusione della patch cumulativa MS02-066 della scorsa settimana, la micro$oft ha distribuito ancora una patch cumulativa per internet exploder - MS02-068, che si può trovare su http://www.microsoft.com/technet/security/bulletin...

    La sola vulnerabilità che rimedia la patch MS02-068 è la "copia cache di oggetto esterno" scoperta dalla GreyMagic Software. L'aspetto veramente sorprendente di questo bollettino è il sistematico ridimensionamento della gravità e la scorretta [presenza] di fattori mitiganti.

    La micro$oft ha assegnato alla vulnerabilità il massimo fattore di rischio "moderato". Grande, e così l'esecuzione di comandi arbitrari, la lettura di file locali e la completa compromissione del sistema adesso sono da ritenersi solo di gravità moderata, secondo la micro$oft.

    Andando oltre alla descrizione tecnica, troviamo altre inaccuratezze. Il primo paragrafo è completamente falso:

    "Sfruttando la prima vulnerabilità l'attaccante può essere capace di leggere, ma non di modificare, qualsiasi file sul computer locale dell'utente. Inoltre l'attaccante può invocare un eseguibile già presente sul sistema locale. L'attaccante deve conoscere la precisa collocazione dell'eseguibile e non potrebbe passargli parametri. La maicro$oft non è al corrente di alcun eseguibile fornito di default insieme a uindous che, eseguito senza parametri, possa rivelarsi pericoloso."

    Permettetemi di riscrivere questo pezzo:
    "Sfruttare la vulnerabilità può rendere capace un attaccante di esercitare quasiasi azione sul computer locale che l'utente attaccato può eseguire. Questo include, ma non è limitato a, la lettura e la modifica di qualsiasi file sul computer locale dell'utente, la collocazione forzosa di file arbitrari sul sistema in qualunque luogo e l'invocazione di qualsiasi eseguibile sul sistema sia con che senza parametri.

    Andando oltre troviamo altre inaccuratezze:

    "Senza la possibilità di passare parametri è improbabile che un attaccante possa fare granché. Ad esempio, sebbene l'attaccante possa eseguire il comando per avere il prompt, non potrebbe passargli un comando (ad esempio, format c:)"
    "Questa vulnerabilità non fornisce nessun meccanismo peché l'attaccante possa trasferire un programma di sua scelta sul computer dell'utente."

    Giacché possiamo già creare ed eseguire uno script di comandi arbitrario sulla macchina, non riesco a capire come quanto scritto sopra possa essere anche vagamente accurato. Concretizzare questa minaccia è tanto semplice quanto creare ed eseguire uno script FTp automatico, oppure ricreare un file EXE da una stringa incorporata al codice HTML.

    Alla micro$oft sono ben al corrente di queste cose ed hanno pure modificato il bollettino MS02-066(in seguito all'avviso della GreyMagic su Bugtraq) per fornire assistenza a quanti chiedevano come mitigare l'impatto che aveva la falla del controllo "HTML Help" che consente di eseguire comandi in locale.

    Sembra che la micro$oft stia deliberatamente ridimensionando la gravità delle vulnerabilità in un tentativo di smorzare l'effetto degli articoli di stampa che usciranno a riguardo. Sicuramente farebbe un pessimo effetto distribuire due patch cumulative critiche in due sole settimane, ma questo è esattamente quello che è successo. Così come stanno le cose adesso, il bollettino è stato distribuito e la maggior parte dei giornalisti intenzionati a scrivere un commento a riguardo hanno già notato l'etichetta di "moderato" e la lunga lista dei fattori (scorrettamente passati per) mitigatori e molto probabilmente non ne scriveranno nulla su quanto sia grave la faccenda. Dubito che la maggior parte della gente si degnerà di leggere la revisione del bollettino che apparirà presto.

    [fine traduzione]

    Che importa alla micro$oft, tanto, non è legalmente responsabile degli eventuali danni causati, a fare danni sono sempre e solo colpevoli gli utonti.

    non+autenticato
  • si tratta di Outlook express o solo Outlook, riguardo alla patch di cui si parla in fondo?

    Ciao!
    non+autenticato
  • - Scritto da: Anonimo
    > si tratta di Outlook express o solo Outlook,
    > riguardo alla patch di cui si parla in
    > fondo?
    >
    > Ciao!

    Si tratta di Outlook 2002 solamente.


    Zeross
    1303
  • Vi siete dimenticati di segnalare che vale anche per IE 6 SP1 (che non è il 6 liscio).
    Spesso si creano molte confusioni in proposito.
    non+autenticato

  • - Scritto da: Anonimo
    > Vi siete dimenticati di segnalare che vale
    > anche per IE 6 SP1 (che non è il 6 liscio).
    > Spesso si creano molte confusioni in
    > proposito.

    Confermo, io ho installato il 6 sp1 e la patch di novembre proprio l'altro gg... sorpresa, ci va anche la cumulativa di dicembre (ben 2M).
    non+autenticato