Roberto Pulito

Il giorno zero di IE

Microsoft conferma una nuova minaccia zero day per la sicurezza di Internet Explorer. A finire sotto accusa Ŕ sempre la gestione dei fogli di stile CSS

Roma - Si torna a parlare di insidiosi bug in Internet Explorer, dopo che Microsoft ha confermato l'individuazione di una nuova vulnerabilità "zero-day" nel proprio browser. A quanto sembra, il problema riguarda tutte le versioni stabili del programma, dalla 6 alla 8. La release beta di IE 9 potrebbe invece essere immune.

La gestione dei capricciosi fogli di stile CSS continua a lasciare una porta aperta ai malware che riescono a superare le collaudate difese dei sistemi Microsoft, tipo il Data Execution Prevention (DEP) e l'Address Space Layout Randomization (ASLR).

Utilizzando la falla riferita al file "mshtml.dll", che processa erroneamente i tag dei Cascading Style Sheets, un malintenzionato può attaccare il computer ed eseguire codice malevolo da remoto. Secondo Microsoft, Windows Server 2003 e 2008 dovrebbero ridurre la portata di un eventuale approccio da parte di un malintenzionato, perché in queste versioni dell'OS i siti web vengono caricati con il massimo livello di sicurezza anche nella configurazione standard.
Al momento non c'è ancora nessuna patch da scaricare, ma il colosso di Redmond consiglia di installare la versione 2.0 del "solito" strumento EMET (Enhanced Mitigation Experience Toolkit), per proteggere dall'exploit i processi in esecuzione.

Roberto Pulito
Notizie collegate
48 Commenti alla Notizia Il giorno zero di IE
Ordina
  • Giorno zero, giorno zero, giorno zero, giorno zero, giorno zero, giorno zero, giorno zero, giorno zero, giorno zero.......
    non+autenticato
  • L'anno di Microsoft?

    BWUHAHAHAHAHHAHAHAH Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Quando ce ne saremo liberati sarà sempre troppo tardi.
    ruppolo
    33146
  • - Scritto da: ruppolo
    > L'anno di Microsoft?
    >
    > BWUHAHAHAHAHHAHAHAH
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Quando ce ne saremo liberati sarà sempre troppo
    > tardi.

    attento: meno offerta = meno liberta' di scelta.
    e la liberta di sceltra del cliente e' la cosa piu' importante.
    non+autenticato
  • > attento: meno offerta = meno liberta' di scelta.
    > e la liberta di sceltra del cliente e' la cosa
    > piu'
    > importante.

    La cazzata piu' grossa che potevi scrivere.
    Meno offerta di quella che c'e' stata negli ultimi venti anni e' impossibile a meno che non finisca il mondo.
    C'era un unico monopolista maledetto che si chiamava MS.
    Che e' riuscito a rovinare tutta l'informatica spiciola da 20 anni a questa parte.
    Adesso almeno c'e' Apple, google, tutta la Free software foundation e tutte le distribuzioni linux.
    Se MS fallisse avremmo ben piu' scelta di quella che abbiamo avuto fino ad ora.
    non+autenticato
  • - Scritto da: bollito
    > > attento: meno offerta = meno liberta' di scelta.
    > > e la liberta di sceltra del cliente e' la cosa
    > > piu'
    > > importante.
    >
    > La cazzata piu' grossa che potevi scrivere.
    > Meno offerta di quella che c'e' stata negli
    > ultimi venti anni e' impossibile a meno che non
    > finisca il mondo.
    >
    > C'era un unico monopolista maledetto che si
    > chiamava
    > MS.
    > Che e' riuscito a rovinare tutta l'informatica
    > spiciola da 20 anni a questa
    > parte.
    > Adesso almeno c'e' Apple, google, tutta la Free
    > software foundation e tutte le distribuzioni
    > linux.
    > Se MS fallisse avremmo ben piu' scelta di quella
    > che abbiamo avuto fino ad
    > ora.

    caro, n < (n -1).
    se non la capisci, fattela spiegare.
    se tizio decidere di dare il culo a jobs, perhe caio non puo decidere di legarsi mani e piedi a ms?
    non+autenticato
  • - Scritto da: polpetta avvelenata
    > caro, n < (n -1).

    n > (n -1)
    Geek
  • - Scritto da: Momento di inerzia
    > - Scritto da: polpetta avvelenata
    > > caro, n < (n -1).
    >
    > n > (n -1)
    > Geek
    ooooooooooopsssssssss "<" e ">" stanno sullo stesso tasto e non ho premuto lo shift. Resta il fatto che avere una scelta in piu e' comunque meglio di avere una scelta in meno.
    non+autenticato
  • > caro, n < (n -1).
    > se non la capisci, fattela spiegare.
    > se tizio decidere di dare il culo a jobs, perhe
    > caio non puo decidere di legarsi mani e piedi a
    > ms?

    Ficcatele nel baugugi le tue espressioni artimetiche.
    Se non vuoi capire quello che ho scritto fai pure.
    non+autenticato
  • - Scritto da: polpetta avvelenata
    > caro, n < (n -1).
    > se non la capisci, fattela spiegare.

    Perché, tu l'avresti capita?
    ruppolo
    33146
  • jobs è la peggio cosa capitata all'informatica
    mamma mia
    non+autenticato
  • Meno male che qualcuno l'ha capita.

    Secondo me chi non la capisce è chi è nato dentro tale monopolio.
    ruppolo
    33146
  • Senti chi parla di libertà di scelta, una pecora che sta in un recinto è che ha marchiata una mela sul sedere
    non+autenticato
  • - Scritto da: polpetta avvelenata
    > bon apetit, microsoft.

    Tavolo 7, non 2 Rotola dal ridere
    ruppolo
    33146
  • Passare in toto ad un browser come si deve
    (oltreché moooooooooooolto più sicuro), e cioè Firefox.
  • Passare in toto a QUALUNQUE altro browser diverso da i.e.
    non+autenticato
  • - Scritto da: sentinel
    > Passare in toto ad un browser come si deve
    > (oltreché moooooooooooolto più sicuro), e cioè
    > Firefox.

    Firefox non ha uno straccio di sandbox, quindi è tutt'altro che sicuro. E' più sicuro IE con la sua Modalità protetta
    non+autenticato
  • :(TristeTriste
    cosa mi tocca sentire...
    Sgabbio
    26177
  • Comtenuto di pippo.html:

    <div style="position: absolute; top: -999px;left: -999px;">
    <link href="css.css" rel="stylesheet" type="text/css" />

    Contenuto di css.css:

    *{
    color:red;
    }
    @import url("css.css");
    @import url("css.css");
    @import url("css.css");
    @import url("css.css");
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)