Alessandro Del Rosso

Internet Explorer e le patch extra di primavera

Microsoft ha pubblicato un bollettino straordinario che corregge 10 serie vulnerabilitÓ di IE. Tra le quali una giÓ pubblica e sfruttata in diversi attacchi. Ancora sotto indagine la debolezza di IE8 mostrata al Pwn2Own

Roma - Nella serata di ieri Microsoft ha pubblicato un bollettino di sicurezza straordinario, l'MS10-018, che contiene un aggiornamento cumulativo per Internet Explorer. L'update risolve in tutto 10 vulnerabilità "critiche", una delle quali - identificata come CVE-2010-0806 - è stata oggetto di un recente advisory ed è attivamente sfruttata dai cracker.

╚ stato proprio il crescente numero di attacchi che fanno leva sulla falla CVE-2010-0806 a spingere BigM a pubblicare un bollettino fuori del suo tradizionale ciclo mensile dei rilasci. Con l'occasione la mamma di Windows ha corretto anche altre serie vulnerabilità di IE 5.01/6/7/8, la maggior parte delle quali (8 su 10) sono relative all'esecuzione di codice a distanza. Di queste, tuttavia, sono la CVE-2010-0806 era già pubblica.

"Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota dovuta al modo in cui Internet Explorer accede a un oggetto non inizializzato correttamente o eliminato" si legge nel bollettino in riferimento al bug CVE-2010-0806. "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota". Nel caso in cui l'utente sia loggato nel sistema con diritti di amministrazione, l'aggressore può ottenere il pieno controllo del sistema remoto. Va ricordato come questa falla non interessi Windows 7, Windows Server 2008 R2 o Internet Explorer 8.
Tutte le debolezze contemplate dal bollettino MS10-018 possono essere potenzialmente sfruttate da un aggressore realizzando una pagina HTML maligna e inducendo l'utente ad aprirla. Vale la pena notare come, delle 10 vulnerabilità appena corrette da Microsoft, 8 interessino IE6, 7 IE7 e soltanto 3 IE8: da ciò si comprende bene perché sia BigM che gli esperti di sicurezza raccomandino agli utenti che ancora utilizzano una vecchia versione di IE a migrare quanto prima alla più moderna e robusta versione.

Come spiega in questo post Feliciano Intini, responsabile sicurezza di Microsoft Italia, l'aggiornamento migliora anche la protezione da certi attacchi di tipo cross-site scripting (XSS), e in particolare l'X-XSS-Protection HTTP header. "Una nuova sintassi mode=block indica al filtro XSS Filter di disabilitare completamente il contenuto della pagina web nel caso si rilevi un attacco XSS di tipo reflected. Ad esempio: X-XSS-Protection: 1; mode=block".

A chi nelle scorse settimane avesse applicato la soluzione Fix-it rilasciata da Microsoft per la vulnerabilità CVE-2010-0806, Intini ricorda di rimuovere questo workaround (qui le istruzioni) prima di procedere all'installazione di questo aggiornamento. Come usuale, le patch contenute nell'ultimo bollettino di Microsoft possono essere installate manualmente, seguendo i link forniti nel bollettino stesso, oppure scaricate attraverso Windows Update (non appena disponibili).

Microsoft ha precisato che questo bollettino non corregge la falla utilizzata nel recente contest Pwn2Own per bucare IE8 e Windows 7. "Al momento stiamo ancora investigando sul problema e non abbiamo un aggiornamento disponibile" si legge in questo post del Microsoft Security Response Center. "In accordo con le regole della competizione, le vulnerabilità utilizzate (nel Pwn2Own, NdR) sono divulgate responsabilmente, in questo modo i rispettivi vendor possono creare gli aggiornamenti per proteggere i loro clienti prima che le vulnerabilità possano essere utilizzate dai criminali".

Per altro lo scorso venerdì, sul Windows Security Blog, Microsoft aveva difeso IE8 sostenendo che l'attacco esibito al Pwn2Own era molto sofisticato, e che in ogni caso i meccanismi di protezione inclusi nelle più recenti versioni di IE e di Windows "non sono progettati per impedire qualsiasi attacco per sempre, ma per rendere decisamente più difficile sfruttare una vulnerabilità".

Alessandro Del Rosso
Notizie collegate
  • SicurezzaPwn2Own, cadono quasi tuttiVanno gi¨ al primo round: iPhone, Safari, Firefox e IE8. Sopravvive Chrome, al momento snobbato dagli hacker. C'Ŕ anche un vincitore italiano
  • SicurezzaInternet Explorer 6 e 7 sotto attaccoCresce il numero di assalti portati alle vecchie ma popolari versioni del browser di Microsoft. Attacchi che sfruttano una vulnerabilitÓ diventata di pubblico dominio all'inizio del mese
  • SicurezzaMicrosoft cura Movie Maker ed ExcelI bollettini di marzo pubblicati da Microsoft correggono diverse vulnerabilitÓ in Movie Maker ed Excel, tutte sfruttabili attraverso file maligni. Con un advisory Microsoft ha poi segnalato una falla zero-day in Internet Explorer 6/7
40 Commenti alla Notizia Internet Explorer e le patch extra di primavera
Ordina
  • Che Internet Explorer fosse un pessimo browser lo sapevamo già.
    non+autenticato
  • Non capisco Microsoft che continua a sviluppare un programma Freeware che a loro non produce altro che multe.
    Fino ad ora Internet Explorer e' stato solamente un prodotto che ha fatto solamente debiti, neanche un profitto:
    - multe da milioni di Euro
    - costi pubblicitari
    - salari dei programmatori

    Se fossi Microsoft venderei Windows senza neanche un browser, senza il ballot screen. Il resto poi si attacca, si fara' come prima scambirarsi il CD con il browser che si vuole.
    non+autenticato
  • Hai ragione, questo dimostra che a Microsoft non sono del tutto irresponsabili e hanno come obiettivo la soddisfazione del cliente. Poi che qualcuno non sia mai contento... questa è la vita, che poi qualcuno continui a deigrare la casa che fornisce il meglio dell'informatica di consumo... questo per me francamente è incomprensibile... oppure semplicemente è da idioti, come chi utilizza windows per parlare male di microsoft...
    non+autenticato
  • - Scritto da: Cavallo pazzo
    > Hai ragione, questo dimostra che a Microsoft non
    > sono del tutto irresponsabili e hanno come
    > obiettivo la soddisfazione del cliente.

    Non credo sia così semplice, c'è un indotto dietro il prodotto (fa anche rima). Ad esempio (è solo un esempio ripeto), magari scrivere applicazioni web e renderle perfettamente compatibili con IE è più rapido e facile con Visual Studio (che costa un botto). Inoltre allungare i "tentacoli" un pò dappertutto ti lascia aperte diverse porte, credo che la stessa strategia la faccia Google, anche loro ti danno un sacco di cose gratis eppure non mi sembra un azienda in perdita.
    non+autenticato
  • Google nno da niente gratis, perche' con i suoi "servizi gratis" ti spia e fa soldi con la pubblicita'.

    Forse hai ragione tu su Visual Studio, ma i oad un certo punto avrei lasciato tutti senza browser. Ha ha che ridere poi
    non+autenticato
  • - Scritto da: qualcuno
    > Google nno da niente gratis, perche' con i suoi
    > "servizi gratis" ti spia e fa soldi con la
    > pubblicita'.
    >

    Si lo so, era proprio quello che facevo notare, c'è sempre un ritorno da qualche parte

    > Forse hai ragione tu su Visual Studio, ma i oad
    > un certo punto avrei lasciato tutti senza
    > browser. Ha ha che ridere
    > poi

    Quando l'acqua arriva al c..o la gente inizia a nuotare, non credo ci sarebbero stati molti problemi.
    non+autenticato
  • soddisfazione dell'utente? creando un browser non standard?
    non+autenticato
  • - Scritto da: Cavallo pazzo
    > Hai ragione, questo dimostra che a Microsoft non
    > sono del tutto irresponsabili e hanno come
    > obiettivo la soddisfazione del cliente.

    ╚ una battuta?

    > che poi qualcuno continui a deigrare la
    > casa che fornisce il meglio dell'informatica di
    > consumoů

    Ah ok, era una battuta, come lo è questa.

    PS: ma il tuo sistema "che fornisce il meglio dell'informatica di consumo" non ti fornisce uno straccio di correttore ortografico per non farti scrivere "deigrare"?
    ruppolo
    33147
  • - Scritto da: qualcuno
    > Non capisco Microsoft che continua a sviluppare
    > un programma Freeware che a loro non produce
    > altro che
    > multe.

    E' vero ma diciamo che gli serve anche per tenere a bada dei concorrenti pericolosi, che ovviamente non è mozilla che microsoft lascia sopravvivere perchè fa comodo ma gurgle.

    > Se fossi Microsoft venderei Windows senza neanche
    > un browser, senza il ballot screen. Il resto poi
    > si attacca, si fara' come prima scambirarsi il CD
    > con il browser che si
    > vuole.

    Appena l'hanno annunciato la UE ha cominciato a piangere... posso solo immaginare cosa la commissaria europea abbia promesso a Ballmer per non essere ricordata come quella che ha causato il più grosso casino informatico della storia.
    non+autenticato
  • - Scritto da: nome e cognome

    > E' vero ma diciamo che gli serve anche per tenere
    > a bada dei concorrenti pericolosi, che ovviamente
    > non è mozilla che microsoft lascia sopravvivere
    > perchè fa comodo ma gurgle.
    >

    mozilla non è pericoloso? già, li sta solo affossando

    > Appena l'hanno annunciato la UE ha cominciato a
    > piangere... posso solo immaginare cosa la

    quando è successo? ah già nel tuo mondo parallelo

    > commissaria europea abbia promesso a Ballmer per
    > non essere ricordata come quella che ha causato
    > il più grosso casino informatico della
    > storia.
    non+autenticato
  • > mozilla non è pericoloso? già, li sta solo
    > affossando

    Lol... quindi il fatto che microsoft da explorer non ricavi un solo centesimo ti è sfuggito? Vuoi pubblicarci il fatturato di mozilla?

    > > Appena l'hanno annunciato la UE ha cominciato a
    > > piangere... posso solo immaginare cosa la
    >
    > quando è successo? ah già nel tuo mondo parallelo

    Che per inciso è il mondo in cui viviamo...

    http://www.computerworld.com/s/article/9136166/Mic...

    However, the Commission did not look favorably on the idea for a browserless Windows. "Consumers should be offered a choice of browser, not that Windows should be supplied without a browser at all," the Commission said in a statement.
    non+autenticato
  • Ma IE8 non era sicuro? Fantasma

    Ma allora come mai la Microsoft diceva che era il browser piu' sicuro? In lacrime
    non+autenticato
  • aaaaaaaa percio' stanno facendo la pubblicita' in radio di internet explorer 8!!!! he si... adesso funziona alla grande e è affidabile e veloce! ahahahahha
    non+autenticato
  • - Scritto da: Massimilian o
    > aaaaaaaa percio' stanno facendo la pubblicita' in
    > radio di internet explorer 8!!!! he si... adesso
    > funziona alla grande e è affidabile e veloce!
    > ahahahahha

    Ma dai, anche alla radio!
    E io oggi tornando a casa ho visto un cartellone pubblicitario alla fermata del tram, con la e blu. E penso tra me e me, ma chi e' quello che mette la e di IE nella pubblicita'? Mi avvicino e leggo: "piu' sicurezza!"
    Mi stavo pisciando addosso...
  • Il browser con le patch che non ti proteggono!
    non+autenticato
  • - Scritto da: Sonsfigato
    > Il browser con le patch che non ti proteggono!

    IE e' il browser piu' sicuro al mondo, parola di Pinocchio
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)