Scoperte falle in IE

Un ricercatore ha scoperto alcune falle di sicurezza che interessano Internet Explorer. Il punto debole è ancora una volta rappresentato dall'active scripting

Copenaghen (Danimarca) - Sono cinque le vulnerabilità di sicurezza di Internet Explorer che la società danese Secunia ha descritto, classificandole come "estremamente critiche", in un suo recente advisory.

Scoperte dall'esperto di sicurezza Liu Die Yu, le falle interessano le versioni 5.x e 6 di IE e, secondo l'avviso, "possono essere sfruttate in combinazione per compromettere il sistema di un utente".

Yu ha spiegato che le vulnerabilità possono consentire ad un aggressore di aggirare il controllo di sicurezza di IE, installare sul computer di un utente codice malizioso, eseguire script con gli stessi privilegi dell'utente locale e scoprire in quale cartella IE archivia i file temporanei. Quest'ultimo problema sembra tuttavia interessare solo alcune versioni di IE e, secondo Yu, potrebbe essere stato corretto dalle ultime patch rilasciate da Microsoft.
Tutti e cinque i problemi di sicurezza possono essere risolti, in attesa che il big di Redmond rilasci dei fix, disabilitando la funzionalità "active scripting", la stessa che in IE consente l'esecuzione (di default automatica) di script, scritti in Javascript o VBScript, e di controlli ActiveX.

Un portavoce di Microsoft ha fatto sapere che l'azienda, attualmente impegnata nell'investigare i problemi, "è preoccupata dal fatto che la divulgazione delle vulnerabilità non sia avvenuta in modo responsabile, mettendo così potenzialmente a rischio la sicurezza degli utenti di computer". La critica di Microsoft si riferisce al fatto che Yu ha pubblicato, prima del rilascio delle patch, porzioni di codice che mostrano come sfruttare le falle di IE.
TAG: sicurezza
130 Commenti alla Notizia Scoperte falle in IE
Ordina

  • ..parla, giuro gli meno. Intanto per qualche tifoso di altri browser riassumo quello che offre IE:

    1) Motore di script javascript 1.4
    2) Motore di script jscript
    3) Motore di script vbscript
    4) Rendering completo html 4.1
    5) Supporto totale a CSS1 e 2
    6) Supporto Java applet integrato e non
    7) Supporto Flash player incorporato
    8) supporto activex
    9) accesso DCOM e COM
    10) estensioni proprietare a CSS e HTML 4.1
    11) Motore DHTML incorporato

    e potrei andare molto oltre...

    tutti gli altri browser invece sono solo un rimpolpettamento sempre dei motori di rendering HTML come gecko e qualcosa d'altro...

    E' abbastanza normale che con tutto questo po po di roba qualche vulnerabilità possa scapparci...
    ...gli altri non presentano molti bug perchè non fanno quasi un ca77o...
    non+autenticato

  • - Scritto da: Prozac2000
    >
    > ..parla, giuro gli meno. Intanto per qualche
    > tifoso di altri browser riassumo quello che
    > offre IE:
    >
    > 1) Motore di script javascript 1.4
    > 2) Motore di script jscript
    > 3) Motore di script vbscript

    Interessanti quanto utili... indubbiamente questi *standard* ... sono interessanti.

    > 4) Rendering completo html 4.1
    > 5) Supporto totale a CSS1 e 2
    > 6) Supporto Java applet integrato e non

    Ecco questi altri standard sono presenti in vari altri browser, magari alle volte devi installare i plugin per il java, ma che ci vuoi fare, noi abbiamo i plugin e voi avete i worm

    > 7) Supporto Flash player incorporato

    Ecco, questo è secondo me una spina nel fianco ma ce l'hanno tutti i browser che supportano i plugin netscape

    > Ficoso supporto activex

    Ecco, queste preferisco non averle per i noti buchi mai chiusi. Mi dici un sito che usi le activex per qualcosa di utile?

    > 9) accesso DCOM e COM

    Si ma non ha CORBA...

    > 10) estensioni proprietare a CSS e HTML 4.1

    LOL! Questo ha solo fatto del male al mondo finora.

    > 11) Motore DHTML incorporato
    >

    Anche mozilla. Riassumendo quello che non ha mozilla ma solo ie sono:

    le activex
    jscript
    vbscript
    le estensioni proprietarie

    I WORM!

    Io mi tengo mozilla, tu ti tieni queste entusiasmanti features?

    > e potrei andare molto oltre...
    >

    Potresti andare... hmmm, dove potresti andare?

    > tutti gli altri browser invece sono solo un
    > rimpolpettamento sempre dei motori di
    > rendering HTML come gecko e qualcosa
    > d'altro...
    >

    Embè, che problema c'è a rimpolpettare gecko?

    > E' abbastanza normale che con tutto questo
    > po po di roba qualche vulnerabilità possa
    > scapparci...
    > ...gli altri non presentano molti bug perchè
    > non fanno quasi un ca77o...

    E' qui che sbagli, infatti i bug ci sono anche per mozilla, non a caso la miglior piattaforma di bug tracking è proprio bugzilla, ti dice nulla il nome?

    La differenza sta nel fatto che mentre i bug di mozilla li trovano gli sviluppatori perchè si impegnano, i bug di IE li devono trovare gli esterni perchè alla microsoft glie ne frega un tubo. Trovami un worm per mozilla ti sfido.
    non+autenticato
  • - Scritto da: Prozac2000
    >
    > ..parla, giuro gli meno. Intanto per qualche
    > tifoso di altri browser riassumo quello che
    > offre IE:
    ...

    > Ficoso supporto activex
    ...

    > E' abbastanza normale che con tutto questo
    > po po di roba qualche vulnerabilità possa
    > scapparci...

    Fintanto che esisterà la tecnologia active x incorporata in IE, questo prodotto sarà intrinsecamente insicuro.

    Ciao
    _______________________________________________
    Per chi non sa usare (e non vuole imparare), tutto fa schifo...

    ==================================
    Modificato dall'autore il 28/11/2003 19.01.10
  • - Scritto da: Prozac2000
    >
    > ..parla, giuro gli meno. Intanto per qualche
    > tifoso di altri browser riassumo quello che
    > offre IE:
    >


    > 2) Motore di script jscript

    utilità 0

    > 3) Motore di script vbscript

    utilità -4


    > Ficoso supporto activex

    utlità -4



    > 10) estensioni proprietare a CSS e HTML 4.1

    utilità 0



    tabbed browsing?
    motori di ricerca integrati?


    continua pure col tuo giocattolo.

    Io uso un browser degno di questo nome.

    SiN
    1120

  • - Scritto da: Prozac2000
    >
    > ..parla, giuro gli meno.
    MenamiCon la lingua fuori

    >
    > 1) Motore di script javascript 1.4
    Non standard, Mozilla, Firebird, Opera, etc.. lo hanno Standard

    > 2) Motore di script jscript
    Tienitelo

    > 3) Motore di script vbscript
    Tienitelo

    > 4) Rendering completo html 4.1
    Non standard, vedi sopra

    > 5) Supporto totale a CSS1 e 2
    Non standard, vedi sopra

    > 6) Supporto Java applet integrato e non
    Non compatibile con lo standard Sun

    > 7) Supporto Flash player incorporato
    Anche gli altri, al massimo usano i plug-in
    Ah già, voi non li potete usare i plug-in

    > Ficoso supporto activex
    Con accesso totale al sistema incorporato

    > 9) accesso DCOM e COM
    Vedi sopra

    > 10) estensioni proprietare a CSS e HTML 4.1
    Che figata!!!

    > 11) Motore DHTML incorporato
    Uau, che feature

    >
    > e potrei andare molto oltre...
    E vai vai

    >
    > tutti gli altri browser invece sono solo un
    > rimpolpettamento sempre dei motori di
    > rendering HTML come gecko e qualcosa
    > d'altro...
    Hanno il grosso difetto di rispettare gli standard, ma come si permettono???

    >
    > E' abbastanza normale che con tutto questo
    > po po di roba qualche vulnerabilità possa
    > scapparci...
    Qualche!!! AHAHAHAHAHAHAHAHAHAHAHAHAH

    > ...gli altri non presentano molti bug perchè
    > non fanno quasi un ca77o...
    Tranne quello che devono fare e IE non riesce a fareCon la lingua fuori
  • ..quindi sarete menati.. vi aspetto fuori...

    Intanto con le vostre risposte sono veramente stupide (e mi fanno capire che siete baristi, infermieri, muratori e carpentieri).

    Tutte le feature di IE sono inutili? Avete mai sentito parlare di applicazioni INTRANET?

    Su internet purtroppo non si dovrebbero usare a causa dell'arretratezza degli altri browser ma nelle applicazioni INTRANET ti permettono di creare delle VERE applicazioni...

    Bambolotti!!!

    ..a proposito.. i standard che voi citate li fà il w3c che per non litigare con i concorrenti MS non standardizza queste feature perchè gli altri browser faticherebbero ad adeguarsi...

    Cicciotti...

    ==================================
    Modificato dall'autore il 28/11/2003 19.50.16
    non+autenticato

  • - Scritto da: Prozac2000
    > ..quindi sarete menati.. vi aspetto fuori...
    >
    > Intanto con le vostre risposte sono
    > veramente stupide (e mi fanno capire che
    > siete baristi, infermieri, muratori e
    > carpentieri).
    >
    ma imparare a scrivere in italiano no?


    > Tutte le feature di IE sono inutili? Avete
    > mai sentito parlare di applicazioni
    > INTRANET?
    >
    > Su internet purtroppo non si dovrebbero
    > usare a causa dell'arretratezza degli altri
    > browser ma nelle applicazioni INTRANET ti
    > permettono di creare delle VERE
    > applicazioni...
    >
    > Bambolotti!!!
    >
    > ..a proposito.. i standard che voi citate li
    > fà il w3c che per non litigare con i
    > concorrenti MS non standardizza queste
    > feature perchè gli altri browser
    > faticherebbero ad adeguarsi...
    >
    > Cicciotti...
    >
    > ==================================
    > Modificato dall'autore il 28/11/2003 19.50.16

    topo gigio impara scrivere che poi magari terzi ti capiscono....i standard....ma certo continuiamo a scrivere gli articoli sbagliati
    non+autenticato

  • >
    > topo gigio impara scrivere che poi magari
    > terzi ti capiscono....i standard....ma certo
    > continuiamo a scrivere gli articoli
    > sbagliati

    Senti piccolo topolino, perchè non usi firmare quando rispondi? Almeno saprò che lavoro fai tra muratore, lavapiatti o cameriere...
    non+autenticato

  • - Scritto da: Prozac2000
    >
    > >
    > > topo gigio impara scrivere che poi magari
    > > terzi ti capiscono....i standard....ma
    > certo
    > > continuiamo a scrivere gli articoli
    > > sbagliati
    >
    > Senti piccolo topolino, perchè non usi
    > firmare quando rispondi? Almeno saprò che
    > lavoro fai tra muratore, lavapiatti o
    > cameriere...

    Prova invece a rispondere: "a che serve l'activex?". Io ne ho sempre e solo sentito parlare a proposito di buchi nella sicurezza... mentre per le web applications ho sempre sentito parlare di javascript, java o php se vuoi restare lato server... asp al limite se proprio ci tieni.
    non+autenticato
  • Ciao

    dai ragazzi, è perfettamente inutile parlare con Prozac2000 non vedete che è un windowsiano che "spara cavolate ed è più falso dei denti di mio nonno", non ammetterà mai "la scarsa qualità di IE"   con la sua ( sicurissima ) tecnologia Active X integrata.

    In fin dei conti non dimentichiamoci di alcuni usi importanti degli Active X, come ad esempio gli spara dialer, ohhh, ma guarda te che caso, alcuni interessanti siti a cui è affiliato anche il nostro amico fanno proprio uso di questa forma di dialer, birichino ecco spiegato perché ti piacono tanto gli Active X

    L'importante è che sia contento lui di usare il software che vuole.

    Ciao caro Prozac2000
    _______________________________________________
    Per chi non sa usare (e non vuole imparare), tutto fa schifo...
  • forse tralasciamo un dato di fondo ma nn per questo meno importante.
    Microsoft vanta dei diritti su tecnologie, per esserne proprietaria o per averne sottoscritto l'uso. Se non implementasse tutto quello che ha cosa li pagherebbe a fare diritti e brevetti.

    Il problema di Microsoft è che è forse troppo piena di standard da implementare e deve fare tutto "in casa" per minimizzare i costi. Diciamo che chi ha inventato uno standard lo conoscerà meglio di chi lo ha preso in eslusiva? io penso di si, ma mamma microsoft lascia poco a esterni.
    Per quanto riguarda l'activex sarebbe dovuta essere migliorata a priori, ora bisogna solo sperare nel futuro.
    Purtroppo il sistema windows è fatto "a cipolla" e le patch raramente vanno ad intaccare il cuore del programma ma alcune dll (anke se nn sempre).
  • :)
    Basterebbe usarlo insieme ad Opera o Mozilla!
    E tenere sempre gli occhi aperti e non ricoperti di prosciutto...!

    Quello di Parma si intende!

    ;)
    non+autenticato

  • E' piuttosto triste leggere i commenti di questo 3d, sono tutte trollate notevoli.

    Anche se è vero che c'è una falla nuova ogni mese su IE e compagnia bella, è veramente triste leggere la maggior parte dei commenti.

    Soprattutto, essendo io un seguace del mondo open, mi VERGONO a leggere certe robe.

    Credo che il vero spirito di appartenere alla corrente O.S. sia conoscere la tecnologia e apprezzarla quando serve. Insultare aggratise perchè abbiamo la lingua in bocca o peggio trollare apposta per scatenare flame è da co*lionazzi.

    La vera notizia sarebbe non aver avuto TROLL.


  • - Scritto da: shimitar
    >
    > E' piuttosto triste leggere i commenti di
    > questo 3d, sono tutte trollate notevoli.
    >
    > Anche se è vero che c'è una falla nuova ogni
    > mese su IE e compagnia bella, è veramente
    > triste leggere la maggior parte dei
    > commenti.
    >
    > Soprattutto, essendo io un seguace del mondo
    > open, mi VERGONO a leggere certe robe.
    >
    > Credo che il vero spirito di appartenere
    > alla corrente O.S. sia conoscere la
    > tecnologia e apprezzarla quando serve.
    > Insultare aggratise perchè abbiamo la lingua
    > in bocca o peggio trollare apposta per
    > scatenare flame è da co*lionazzi.
    >
    > La vera notizia sarebbe non aver avuto TROLL.

    Quoto in pieno!

    non+autenticato
  • quanto e' vero, quanto e' vero.
    Purtroppo il mondo e' questo e si deve convivere con chi disturba la riflessione.
    non+autenticato
  • insomma, i programmi "maliziosi" come track cookie e dialer, basterebbe disabilitare la visualizzazione dei activiX che sono il mezzo principale...ovviamente e solo un parere mio.


    poi quando provi a disabilitare gli activiX non riesci a vedere un pippa.
    non+autenticato

  • - Scritto da: Anonimo
    > insomma, i programmi "maliziosi" come track
    > cookie e dialer, basterebbe disabilitare la
    > visualizzazione dei activiX che sono il
    > mezzo principale...ovviamente e solo un
    > parere mio.
    >
    >
    > poi quando provi a disabilitare gli activiX
    > non riesci a vedere un pippa.

    Se poi qualcuno illustrasse anche come disabilitare quanto sopra altri, me compreso, che non sanno come fare imparerebbero qualcosa!. Ciao
    non+autenticato

  • > Se poi qualcuno illustrasse anche come
    > disabilitare quanto sopra altri, me
    > compreso, che non sanno come fare
    > imparerebbero qualcosa!. Ciao

    strumenti, opzioni internet, avanzate
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Se poi qualcuno illustrasse anche come
    > > disabilitare quanto sopra altri, me
    > > compreso, che non sanno come fare
    > > imparerebbero qualcosa!. Ciao
    >
    > strumenti, opzioni internet, avanzate

    cioè:
    strumenti, opzioni internet, protezione, livello personalizzato (selezionando internet)
    non+autenticato
  • > cioè:
    > strumenti, opzioni internet, protezione,
    > livello personalizzato (selezionando
    > internet)

    ...cioè:
    click, click, click, click (selezionando internet)

    non+autenticato

  • - Scritto da: Anonimo
    > > cioè:
    > > strumenti, opzioni internet, protezione,
    > > livello personalizzato (selezionando
    > > internet)
    >
    > ...cioè:
    > click, click, click, click (selezionando
    > internet)

    ma questi linari si accorgono di che figure di merda fanno quando fanno i nerd o no? all'asilo i bambini si comporterebbero meglio.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Se poi qualcuno illustrasse anche come
    > > disabilitare quanto sopra altri, me
    > > compreso, che non sanno come fare
    > > imparerebbero qualcosa!. Ciao
    >
    > strumenti, opzioni internet, avanzate

    molto meglio www.mozilla.org/download

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > > Se poi qualcuno illustrasse anche come
    > > > disabilitare quanto sopra altri, me
    > > > compreso, che non sanno come fare
    > > > imparerebbero qualcosa!. Ciao
    > >
    > > strumenti, opzioni internet, avanzate
    >
    > molto meglio www.mozilla.org/download

    complimenti per l'arguzia della risposta. davvero!

    Come se uno chiedesse come si fa il rovescio a tennis e tu rispondessi che è molto meglio giocare a calcio.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > >
    > > > > Se poi qualcuno illustrasse anche
    > come
    > > > > disabilitare quanto sopra altri, me
    > > > > compreso, che non sanno come fare
    > > > > imparerebbero qualcosa!. Ciao
    > > >
    > > > strumenti, opzioni internet, avanzate
    > >
    > > molto meglio www.mozilla.org/download
    >
    > complimenti per l'arguzia della risposta.
    > davvero!
    >
    > Come se uno chiedesse come si fa il rovescio
    > a tennis e tu rispondessi che è molto meglio
    > giocare a calcio.

    Non hai capito niente: lui mi ha chiesto "Come faccio a fare il rovescio a tennis con questa racchetta col manico rotto e la cordatura tutta molle e strappata?"

    E io gli ho risposto: "Cambia racchetta"
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > insomma, i programmi "maliziosi" come
    > track
    > > cookie e dialer, basterebbe disabilitare
    > la
    > > visualizzazione dei activiX che sono il
    > > mezzo principale...ovviamente e solo un
    > > parere mio.
    > >
    > >
    > > poi quando provi a disabilitare gli
    > activiX
    > > non riesci a vedere un pippa.
    >
    > Se poi qualcuno illustrasse anche come
    > disabilitare quanto sopra altri, me
    > compreso, che non sanno come fare
    > imparerebbero qualcosa!. Ciao

    Installa un sistema operativo serio e non avrai preoccupazioni del genere, nessuno ti abilitrà vaccate a gratis (anzi pure pagato).
    Non è una trollata: io ho fatto così ed ho risolto.
    non+autenticato

  • - Scritto da: Anonimo
    > insomma, i programmi "maliziosi" come track
    > cookie e dialer, basterebbe disabilitare la
    > visualizzazione dei activiX che sono il
    > mezzo principale...ovviamente e solo un
    > parere mio.
    >
    >
    > poi quando provi a disabilitare gli activiX
    > non riesci a vedere un pippa.

    Prima di pensare agli 'activiX' dovresti pensare alla tua grammatica.
    non+autenticato
  • La notizia che fara' scalpore sara':
    "Oggi non e' stato trovato nessun bug in IE"
    non+autenticato

  • - Scritto da: Anonimo
    > La notizia che fara' scalpore sara':
    > "Oggi non e' stato trovato nessun bug in IE"

    La notizia che farà scalpore sarà:
    Trovato bug su IE, nessun linozzaro brufoloso ha fatto il troll/nerd informatico impestando i forum di ca77at3.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > La notizia che fara' scalpore sara':
    > > "Oggi non e' stato trovato nessun bug in
    > IE"
    >
    > La notizia che farà scalpore sarà:
    > Trovato bug su IE, nessun linozzaro
    > brufoloso ha fatto il troll/nerd informatico
    > impestando i forum di ca77at3.

    Io di nerd brufolosi e linozzari non ne ho mica visti, in compenso continuo a vedere winari masochisti che nonostante l'evidenza di un prodotto che paragonato allo sterco offende solo quest'ultimo, continuano insistentemente ad usarlo e difenderlo.
    non+autenticato
  • livello trollaggine: Troll Troll Troll Troll Troll Troll Troll
    non+autenticato


  • >
    > Io di nerd brufolosi e linozzari non ne ho
    > mica visti, in compenso continuo a vedere
    > winari masochisti che nonostante l'evidenza
    > di un prodotto che paragonato allo sterco
    > offende solo quest'ultimo, continuano
    > insistentemente ad usarlo e difenderlo.

    Stai Zitto stupido stai parlando di un browser con i controca77i!

    Ti riassumo quello che offre IE:

    1) Motore di script javascript 1.4
    2) Motore di script jscript
    3) Motore di script vbscript
    4) Rendering completo html 4.1
    5) Supporto totale a CSS1 e 2
    6) Supporto Java applet integrato e non
    7) Supporto Flash player incorporato
    8) supporto activex
    9) accesso DCOM e COM
    10) estensioni proprietare a CSS e HTML 4.1
    11) Motore DHTML incorporato

    e potrei andare molto oltre...

    tutti gli altri browser invece sono solo un rimpolpettamento sempre dei motori di rendering HTML come gecko e qualcosa d'altro...

    E' abbastanza normale che con tutto questo po po di roba qualche vulnerabilità possa scapparci...
    ...gli altri non presentano molti bug perchè non fanno quasi un ca77o...
    non+autenticato
  • Piano con le offese.. IO NON TI HO OFFESO. Quindi è già la seconda volta che ti indico di moderare i termini, la pazienza è finita.

    Io ti ho solo indicato non quanto offre IE ma le falle che ci sono rispetto al browser che attaccavi. Se non hai lo stesso metro di confronto almeno si obbiettivo e di che in effetti è così anche se ci sono altri lati positivi.
    opazz
    8666
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)