Sicurezza, ActiveX ancora fonte di guai

Microsoft ha appena corretto una recente vulnerabilitÓ ActiveX ed Ŕ giÓ costretta a rimettersi al lavoro per stuccare una seconda falla. Sempre relativa a un controllo ActiveX

Roma - Ieri, lo stesso giorno in cui ha corretto una pericolosa vulnerabilità legata alla tecnologia ActiveX, Microsoft ha rivelato l'esistenza di un'altra seria falla zero-day in un componente ActiveX. Secondo gli esperti di sicurezza si tratta della terza debolezza scoperta in un controllo ActiveX nell'arco di soli 60 giorni.

L'ultima vulnerabilità, illustrata in questo advisory, riguarda i Microsoft Office Web Components (OWC), una serie di controlli ActiveX opzionali che fanno parte dell'installazione standard di Office XP/2003, BizTalk, ISA Server e Office Accounting and Business Contact Manager, e possono essere installati - come pacchetto opzionale scaricabile da Internet - anche in Office 2007 (la cui vulnerabilità non è però ancora stata accertata).

Lo scenario di attacco è classico: una pagina web o un documento HTML che, una volta aperti in Internet Explorer, eseguono del codice maligno con gli stessi privilegi dell'utente locale. "Usando Internet Explorer l'esecuzione del codice avviene a distanza e potrebbe non richiedere alcun tipo di intervento da parte dell'utente", si legge nell'advisory ufficiale.
Come spesso accade, i sistemi maggiormente vulnerabili sono quelli che fanno girare le versioni client di Windows: sulle piattaforme server di Microsoft, infatti, IE gira con privilegi limitati, e riduce dunque notevolmente l'impatto di eventuali attacchi. Attacchi peraltro già verificatisi, seppure Microsoft affermi di aver finora ricevuto un limitato numero di segnalazioni. Ma la situazione potrebbe cambiare presto: Sophos avvisa che diversi siti, in buona parte cinesi, stanno diffondendo un exploit capace di sfruttare la nuova vulnerabilità.

In attesa che venga rilasciata una patch, Microsoft suggerisce ai propri utenti di applicare il workaround descritto nel proprio advisory o linkato in questo articolo della KB sotto forma di soluzione Fix it, applicabile con un semplice clic del mouse.

Tutti i link per approfondire la conoscenza della falla sono riportati in questo post del Security e Virtualization Blog di Feliciano Intini, chief security advisor di Microsoft Italia.

Ieri Microsoft ha anche pubblicato i bollettini di sicurezza di luglio, tra i quali - come si è anticipato - ve n'è anche uno dedicato a risolvere la precedente falla ActiveX in un componente della tecnologia DirectShow.

I bollettini sono in tutto sei, tra i quali tre "critici" e tre "importanti". Tra quelli più urgenti, oltre al suddetto bollettino relativo al bug ActiveX/DirectShow, ve n'è uno che risolve un buffer overflow sfruttabile a distanza nel componente Embedded OpenType (EOT) Font Engine di Windows. Le tre vulnerabilità classificate di rischio medio-alto riguardano invece le applicazioni Virtual PC/Virtual Server, ISA Server 2006 e Microsoft Publisher, e potrebbero essere sfruttate da un aggressore per elevare i propri privilegi.

Il sommario dei bollettini di luglio è accessibile qui.
180 Commenti alla Notizia Sicurezza, ActiveX ancora fonte di guai
Ordina
  • Lasciate ogni speranza o voi che Windows usate!

    Le sacre parole del Sommo Poeta rivisitate esprimono chiaramente l'attuale situazione di MS: il suo sistema operativo affonda sotto il crescente numero di falle e MS stessa non può abbandonare la tecnologia ActiveX per problemi di compatibilità.

    MS, nei suoi tempi d'oro che furono e mai più saranno, invece che investire in sicurezza si è trastullata dall'alto della sua posizione di monopolista dominante. Ma ora le tenebre calano su Redmond. Non passa giorno che utenti stufi dei problemi di Windows vedano la luce con Linux. La via del monopolio è ormai stata smarrita, ora MS patirà le pene dell'inferno per epurarsi dei suoi peccati...

    A MS, se vuole ancora salvare il suo onore, resta una sola cosa da fare: chiudere e rilasciare tutto il SW sotto GPL!
    non+autenticato
  • - Scritto da: Il Profeta
    > Lasciate ogni speranza o voi che Windows usate!

    Io uso Windows 98lite e finchè potevo collegarlo a Internet (fino a Settembre dell'anno scorsoTriste), stavo da DIO.

    > Le sacre parole del Sommo Poeta rivisitate
    > esprimono chiaramente l'attuale situazione di MS:
    > il suo sistema operativo affonda sotto il
    > crescente numero di falle e MS stessa non può
    > abbandonare la tecnologia ActiveX per problemi di
    > compatibilità.

    Microsoft Office collegata con ActiveX? Da quando? Nella 2000 non c'è sta cosa (va beh che durante l'installazione del programma ti propone di installare IE5. E se non lo hai proprio te lo mette a forza...Triste)
    >
    > MS, nei suoi tempi d'oro che furono e mai più
    > saranno

    Parli del Windows 95 (senza IE integrato ovviamente)?A bocca aperta
    Da un paio di anni ormai lo sto riscoprendo sotto la veste di 98lite.
    Windows 98 utilizzato tramite l'interfaccia rapidissima del 95

    > A MS, se vuole ancora salvare il suo onore, resta
    > una sola cosa da fare: chiudere e rilasciare
    > tutto il SW sotto GPL!

    Scusa se posso sembrare un bimbominkia ma permettetemelo :Q___________________

    Come sono riusciti a trafugare il codice di quella MERDATA di Media Player 6.4 (che basta cambiare qualche impostazione del pc e non parte più (almeno nel mio W98lite)) e hanno tirato fuori quel capolavoro che si chiama Media Player Classic. Se hai i codec giusti leggi TUTTO, tranne i DVD dove è una schiappa.
  • Hai idea di quanto costa fare manuntenzione dei server Linux?

    Ti metterei a configurare il dns server per 100 client con CentOs 5.1 e dopo vorrei vedere se hai ancora voglia di darti aria alla bocca contro Ms.
    non+autenticato
  • le incone del dekop si moltipli anche quando le cancello che tipo di virus e
    non+autenticato
  • - Scritto da: tartaruga
    > le incone del dekop si moltipli anche quando le
    > cancello che tipo di virus
    > e

    trans extracomunitaria?
    non+autenticato
  • > trans extracomunitaria?

    cavallo goloso! Occhiolino
  • L'ActiveX è stato implementato da IE3 o 4, non ricordo bene...probabilmente prima ancora di Java nelle pagine Web o sicuramente di Flash.
    Quindi usare le ActiveX era l'unico modo per fare qualcosa sul PC degli utenti (da una pagina Web ovviamente), che sia scrivere un file, aprire un programma o cose simili.

    Con le ActiveX posso usare quasi tutti i componenti di Windows (e pacchetti Microsoft a parte) semplicemente dal codice via Javascript, cosa che in Firefox: col piffero se non sviluppando un "wrapper" per usarle tramite estensioni...un bel po' incasinato.

    Rimane il fatto che gli ActiveX si possono disattivare o perlomeno non premere su "OK" quando compare la frase "Vuoi installare un ActiveX non firmato.? Guarda che potrebbe essere insicuro!".
    Se poi l'UTONTO è tonto cosa c'entra Microsoft?
    non+autenticato
  • PS: io non uso Antivirus/Antimalware/Antispyware da anni e non ho MAI avuto un virus, eppure sono da 14anni su internet...mai avuto problemi con ActiveX, virus, spegnimenti automatici o altro.

    Come si spiega tutto questo?
    Semplicemente perchè il PC lo so usare e so quando cliccare "OK" e quando cliccare "NO".
    non+autenticato
  • Confermo e sottoscrivo, io con Windows7 vado sui siti zozzi e non prendo virus, non uso software per la sicurezza e per precauzione disabilito anche il firewall, che su Windows7 non serve, consuma solo ram, mai avuto un problema, nessun rallentamento e nessun virus, sto scrivendo dal suddetto pc con Windws7, un pntium2 con 32Mb di ram è va come un missile.
    non+autenticato
  • Come fai a far girare Windows 7 con un PentiumII e 32 MB di RAM? Così, per curiosità, magari ci provo anch'io nel tempo libero.
    non+autenticato
  • Come fa?

    Semplice: sta prendendo per il cuoio capelluto il tizio a cui rispondeva.

    O almeno io l'ho intesa in questo modo.
    non+autenticato
  • Come fai a saperlo? Oppure secondo te quando prendi un virus quello ti avverte?
    non+autenticato
  • - Scritto da: Utente non registrato
    > Come fai a saperlo? Oppure secondo te quando
    > prendi un virus quello ti
    > avverte?

    Ma no!
    Ci sara' conficker che impedisce ad altri virus di insediarsi. Rotola dal ridere
  • - Scritto da: Utente non registrato
    > Come fai a saperlo? Oppure secondo te quando
    > prendi un virus quello ti
    > avverte?

    Quindi i linari sono tutti infetti?
    non+autenticato
  • Esistono dei programmi per rilevare dei rootkit, le modifiche al kernel per quanto è raro che possano esserci (aka devi installarteli) sono le uniche che possono far veramente male. Poi dovrei andare a cercare altre utility del genere, ma al momento non ne sento il bisogno. La scansione la faccio periodicamente e non mi segnala mai un errore che sia uno. Inoltre senza iniziare guerre di religioni: fino a non molto tempo fa usavo Windows quotidianamente, quindi senza che stiamo a prenderci in giro, sai bene quanto me che senza antivirus e software aggiuntivi entro una settimana rischi di dover formattare. Ai tempi di Windows 98 e ME probabilmente era anche peggio. Senza contare che a un livello pragmatico prendere un virus con Windows è più facile che con un Unix-like: su Windows sei sempre il root-user ed esegui senza neanche accorgertene anche codice da remoto. I fatti son fatti, non mi va di discutere sulle semplici possibilità...
    non+autenticato
  • Quoto, l'antivirus su Windows non si usa più da un pezzo, l'antivirus si usa solo si Mac per proteggersi dai trojan.
    non+autenticato
  • come "dovella" sei poco credibile. Clone detected.
    non+autenticato
  • Intanto per Linux non si paga nulla, tu paghi per usare Finestre, su cui ti arrampichi Con la lingua fuori
    non+autenticato
  • La solita cosa, la microsoft continua a dichiarare IE come il browser più sicuro, ma chissà come mai gli activex di IE sono sempre la strada principale attraverso la quale i pec con windows sono infettati...


    hanno ancora mooolta strada da fare nel campo della sicurezza.... ma a loro non interessa... anche perchè adesso rilasciano il loro antivirus... se il sistema non si infetta chi userebbe antivirus???
  • - Scritto da: Andreabont
    > La solita cosa, la microsoft continua a
    > dichiarare IE come il browser più sicuro, ma
    > chissà come mai gli activex di IE sono sempre la
    > strada principale attraverso la quale i pec con
    > windows sono
    > infettati...
    >
    >
    > hanno ancora mooolta strada da fare nel campo
    > della sicurezza.... ma a loro non interessa...
    > anche perchè adesso rilasciano il loro
    > antivirus... se il sistema non si infetta chi
    > userebbe
    > antivirus???

    Morro sarà gratuito quindi non ci vedo questo grande vantaggio per ms. Comunque se e quando firefox sarà mai leader ne riparleremo (attualmente ha "solo" il 25% quindi è presto per parlare). Le strade degli hacker sono infinite e se riescono a entrare nei server nella NSA non si faranno certo problemi a bucare un volpacchiotto rosso.

    Attualmente non è ancora "conveniente" vista la share di IE.
    Ma non temete, presto verrete colti in braghe di tela Occhiolino
    non+autenticato
  • Non lo metto in dubbio, ma Firefox è in ascesa (insieme agli altri browser) e discapito di IE che è in forte calo...

    un motivo ci sarà....

    le guerre dei browser le giocano gli utilizzatori... Widnwos è in vantanggio dando IE preinstallato (e beccandosi multe su multe per questo), nonostante ciò sempre più utenti ignorano IE e mettono un altro browser... direi che il dato è molto rilevante...
  • - Scritto da: Uau
    > - Scritto da: Andreabont
    > > La solita cosa, la microsoft continua a
    > > dichiarare IE come il browser più sicuro, ma
    > > chissà come mai gli activex di IE sono sempre la
    > > strada principale attraverso la quale i pec con
    > > windows sono
    > > infettati...
    > >
    > >
    > > hanno ancora mooolta strada da fare nel campo
    > > della sicurezza.... ma a loro non interessa...
    > > anche perchè adesso rilasciano il loro
    > > antivirus... se il sistema non si infetta chi
    > > userebbe
    > > antivirus???
    >
    > Morro sarà gratuito quindi non ci vedo questo
    > grande vantaggio per ms. Comunque se e quando
    > firefox sarà mai leader ne riparleremo
    > (attualmente ha "solo" il 25% quindi è presto per
    > parlare). Le strade degli hacker sono infinite e
    > se riescono a entrare nei server nella NSA non si
    > faranno certo problemi a bucare un volpacchiotto
    > rosso.
    >
    > Attualmente non è ancora "conveniente" vista la
    > share di
    > IE.
    > Ma non temete, presto verrete colti in braghe di
    > tela
    > Occhiolino

    E' estremamente infantile ogni volta che si appalesa in maniera inconfutabile trovare la giustificazione che è + bucato, perchè + diffuso.

    Resta il fatto che la tecnologia ActiveX oltre a essere fuori standard (il che già basta per rigettarla) è fonte inesauribile di insicurezza, tutta la serie IE si è dimostrata la + lenta e fallata di tutti i browser concorrenti, e dulcis in fundo il concetto di "sicurezza" di M$ a livello di Sistema Operativo è altamente discutibile.

    Poi se vi consola pensare che è così perchè è + diffusa, consolatevici, resta il fatto che usare il mix di quei 3 prodotti/tecnologie combinate è follia e se vi ci ostinate inutile farsi 1000 nick diversi e sparare merda su Firefox, tanto ci farete cmq la figura dei bimbominkia.
  • - Scritto da: dont feed the troll/dovella
    > - Scritto da: Uau
    > > - Scritto da: Andreabont
    > > > La solita cosa, la microsoft continua a
    > > > dichiarare IE come il browser più sicuro, ma
    > > > chissà come mai gli activex di IE sono sempre
    > la
    > > > strada principale attraverso la quale i pec
    > con
    > > > windows sono
    > > > infettati...
    > > >
    > > >
    > > > hanno ancora mooolta strada da fare nel campo
    > > > della sicurezza.... ma a loro non interessa...
    > > > anche perchè adesso rilasciano il loro
    > > > antivirus... se il sistema non si infetta chi
    > > > userebbe
    > > > antivirus???
    > >
    > > Morro sarà gratuito quindi non ci vedo questo
    > > grande vantaggio per ms. Comunque se e quando
    > > firefox sarà mai leader ne riparleremo
    > > (attualmente ha "solo" il 25% quindi è presto
    > per
    > > parlare). Le strade degli hacker sono infinite e
    > > se riescono a entrare nei server nella NSA non
    > si
    > > faranno certo problemi a bucare un volpacchiotto
    > > rosso.
    > >
    > > Attualmente non è ancora "conveniente" vista la
    > > share di
    > > IE.
    > > Ma non temete, presto verrete colti in braghe di
    > > tela
    > > Occhiolino
    >
    > E' estremamente infantile ogni volta che si
    > appalesa in maniera inconfutabile trovare la
    > giustificazione che è + bucato, perchè +
    > diffuso.
    >
    > Resta il fatto che la tecnologia ActiveX oltre a
    > essere fuori standard (il che già basta per
    > rigettarla) è fonte inesauribile di insicurezza,
    > tutta la serie IE si è dimostrata la + lenta e
    > fallata di tutti i browser concorrenti, e dulcis
    > in fundo il concetto di "sicurezza" di M$ a
    > livello di Sistema Operativo è altamente
    > discutibile.
    >
    > Poi se vi consola pensare che è così perchè è +
    > diffusa, consolatevici, resta il fatto che usare
    > il mix di quei 3 prodotti/tecnologie combinate è
    > follia e se vi ci ostinate inutile farsi 1000
    > nick diversi e sparare merda su Firefox, tanto ci
    > farete cmq la figura dei
    > bimbominkia.

    Si bravo difendi l'indifendibile. Sento il rumore di unghie sugli specchi fino a qua.
    non+autenticato
  • - Scritto da: Uau

    > Attualmente non è ancora "conveniente" vista la
    > share di
    > IE.
    > Ma non temete, presto verrete colti in braghe di
    > tela
    > Occhiolino

    ti rispondo con la solita provocazione

    perchè linux ( che rappresenta circa il 60% dei web server ) non è preso di mira alla stregua di windows server?

    eppure lo share è maggiore, quindi perchè bucare meno server? magari perchè linux è più robusto per design
  • - Scritto da: pabloski
    > - Scritto da: Uau
    >
    > > Attualmente non è ancora "conveniente" vista la
    > > share di
    > > IE.
    > > Ma non temete, presto verrete colti in braghe di
    > > tela
    > > Occhiolino
    >
    > ti rispondo con la solita provocazione
    >
    > perchè linux ( che rappresenta circa il 60% dei
    > web server ) non è preso di mira alla stregua di
    > windows
    > server?
    >
    > eppure lo share è maggiore, quindi perchè bucare
    > meno server? magari perchè linux è più robusto
    > per
    > design

    Semplicemente l'amministratore medio di sistemi linux è più capace di tutti i muratori mancati che hanno deciso di buttarsi nel mondo dell'informatica (e ovviamente usano win).
    Ma credimi, un amministratore CAPACE di sistemi win rende tale sistema sicuro quanto uno linux, nonostante sia sottoposto ad un ovvio "bombardamento continuo" di tentativi d'intrusione mentre quello linux no. Oppure chissà come faranno diverse multinazionali per le quali ho lavorato a gestire 30/40 mila macchine di tutti i tipi con infrastruttura completamente win based avendo praticamente zero problemi di security. Hanno solo fortuna? Non credo.
    non+autenticato
  • amministratori capaci tutti i webmaster improvvisati che prendono vps???

    suvvia siamo realisti

    ho visto porcate di configurazione su server linux che nemmeno immagini

    la maggiore sicurezza di linux è dovuta alla stratificazione del sistema operativo che non espone l'api di sistema appena sotto il pelo di activex

    poi anche se fosse come dici tu, in ogni caso linux sarebbe più sicuro e al manager che deve decidere su quale sistema operativo implementare la propria rete è questo che interessa....le risorse umane pure sono importanti e se i sysadmin winari sono incompetenti, mentre quelli linari c'hanno le OO, allora si opta per linux e i linari con le OO
    -----------------------------------------------------------
    Modificato dall' autore il 15 luglio 2009 11.01
    -----------------------------------------------------------
  • > Ma credimi

    o beh, se lo dici tu
    non+autenticato
  • Windows: un sistema su cui, quando una cosa non funziona, tu riavvii e poi quella cosa si rimette a funzionare... Per quanto mi riguarda, già questo è un motivo più che valido per non mettere Windows sui server.
    non+autenticato
  • > ti rispondo con la solita provocazione
    >
    > perchè linux ( che rappresenta circa il 60% dei
    > web server ) non è preso di mira alla stregua di
    > windows
    > server?

    Ti rispondo con la solita domanda, hai fonti che lo confermino? O come al solito spari numeri presi dalla pagina dei giochi di topolino?

    > eppure lo share è maggiore, quindi perchè bucare
    > meno server? magari perchè linux è più robusto
    > per
    > design

    Infatti redhat e apache confermano... le uniche intrusioni serie confermate degli ultimi anni riguardano server linux.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)