CERT: occhio ai link che attaccano IE

Il CERT ha avvisato gli utenti che una vulnerabilitÓ di Internet Explorer potrebbe essere utilizzata per compromettere i sistemi e rubare carte di credito e password. Microsoft al lavoro sulla patch

Washington (USA) - Internet Explorer soffre di un "malanno" di cui, al momento, non esiste cura. A svelarlo Ŕ il CERT che, in un recente avviso di sicurezza, ha portato sotto i riflettori della comunitÓ di esperti di sicurezza una vulnerabilitÓ del browser di Microsoft di tipo cross-domain scripting.

IL CERT sostiene che la falla pu˛ consentire ad un aggressore di eseguire del codice a sua scelta con gli stessi privilegi con cui gira il browser e di leggere o modificare dati, inclusi i cookie, che appartengono da altri siti Web. Il rischio Ŕ che un cracker possa far leva su questa debolezza non solo per ottenere pieno accesso al computer di un utente, ma anche per sottrarre numeri di carte di credito o altri dati sensibili.

La vulnerabilitÓ Ŕ causata dal modo in cui l'implementazione del protocollo InfoTech Storage (ITS) di IE determina la sicurezza del dominio di un componente HTML inglobato in un file di tipo Compiled HTML Help (CHM), lo stesso utilizzato dal sistema di help di Windows. I file CHM si avvalgono del formato ITS per archiviare componenti quali file HTML, elementi grafici e oggetti ActiveX. IE integra diversi gestori di protocolli per accedere a file in formato ITS, ai singoli componenti di un file CHM e a file in formato MHTML (MIME Encapsulation of Aggregate HTML Documents).
"Quando IE, utilizzando ITS e il protocollo MHTML, fa riferimento a un file MHTML (MIME Encapsulation of Aggregate HTML Documents) inaccessibile o inesistente il gestore del protocollo ITS pu˛ consentire l'accesso ad un file CHM presente su di una locazione alternativa", si legge nell'avviso del CERT. "IE tratta incorrettamente il file CHM come se fosse contenuto nello stesso dominio del file MHTML non disponibile. Utilizzando una URL composta in un certo modo, un aggressore pu˛ fare in modo che uno script incluso nel file CHM venga eseguito all'interno di un altro dominio, superando cosý il modello di sicurezza cross-domain".

Il CERT ha messo in guardia gli utenti sul fatto che qualsiasi programma, come un browser o Outlook/Outlook Express, che utilizza il controllo ActiveX WebBrowser o il motore di rendering MSHTML di IE, pu˛ soffrire dello stesso problema.

Gli esperti hanno avvisato gli utenti che delle varianti di alcuni diffusi worm e trojan, come W32/Bugbear, BloodHound.Exploit.6 e Ibiza, sono giÓ in grado di sfruttare la breccia di IE.

In attesa che Microsoft rilasci una patch che risolva il problema, il CERT ha raccomandato agli utenti di evitare di cliccare su link contenuti all'interno di pagine Web, e-mail, messaggi istantanei o canali IRC di cui non si conosca la provenienza.

Negli scorsi giorni sul celebre sito dedicato alla sicurezza SecurityFocus Ŕ apparso un avviso relativo alla presenza, nel Flash Player per Internet Explorer, di un bug che potrebbe essere sfruttato per attacchi denial-of-service. La presenza della vulnerabilitÓ Ŕ stata accertata nella versione 7.0 r19 del player di Macromedia, ma potrebbe interessare anche le versioni precedenti.
TAG: sicurezza
29 Commenti alla Notizia CERT: occhio ai link che attaccano IE
Ordina
  • QUESTO MESE (APRILE) NON HANNO ANCORA PUBBLICATO LA PATCH CUMULATIVA DI EXPLORER ........ MA SICURAMENTE NON PER MANCANZA DI BACHI ....... LEGGETE QUA:


    Spoofing in Internet Explorer/Outlook Express
    02/04/2004
    http-equiv ha scoperto una falla in Internet Explorer,che può essere sfruttata per indurre un utente a visitare siti arbitrari. Normalmente è possibile con script e codici manipolare le in informazioni visibili nella status bar, un errore presente in Internet Explorer permette la manipolazione della status bar senza usare alcun scipt o codice
    http://www.alground.com/news/news.php?page=193

    Vulnerabiità Hotmail
    24/03/2004
    E' stata riscontrata una vulnerabilità in Hotmail se viene utilizzato assieme a Microsoft Internet Explorer. Un remote user potrebbe condurre un attacco cross-site scripting.
    La vulnerabilità riguarderebbe la gestione dei 'HTML + TIME' per esempio il tag . Un remote user mandando un particolare codice HTML ad un user, questi una volta visualizzato avrebbe la possibilità di eseguire codice scripting sulla macchina, ed avere accesso ai coockie del malcapitato (per esempio un possibile coockie di autenticazione)
    http://www.greymagic.com/security/adv isories/gm005-mc/

    Vulnerabilità Yahoo! Mail
    24/03/2004
    E' stata riscontrata una vulnerabilità in Yahoo! Mail se viene utilizzato assieme a Microsoft Internet Explorer. Un remote user potrebbe condurre un attacco cross-site scripting. La vulnerabilità riguarderebbe la gestione dei 'HTML + TIME' per esempio il tag . Un remote user mandando un particolare codice HTML ad un user, questi una volta visualizzato avrebbe la possibilità di eseguire codice scripting sulla macchina, ed avere accesso ai coockie del malcapitato (per esempio un possibile coockie di autenticazione)
    http://www.greymagic.com/security/advi sories/gm005-mc/

    Windows Xp Professional & Internet Explorer
    22/03/2004
    La funzione : "shell:" presente in Xp permette di eseguire altre funzioni da remoto. Un bug è presente in Explorer.exe quando si accede al nome di un file con un doppio backslash.
    Per esempio, accedendo a qualsiasi dei seguenti tag html, si causa l'arresto di explorer: o o Copiare in [Start Menu]-->[Run] --> shell:windows\\system32\\calc.exe
    Explorer.exe crasha (si arresta) quando viene usato "\\". "\" questo non l'arresta e perfino %5C%5C non riesce ad arrestarlo.
    C'è una chiave del registro che resta attiva di default , questa chiave fa ripartire automaticamente "Explorer.exe". Se questa chiave è settata a "0", Explorer.exe non si riavvia.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "AutoRestartShell"=dword:00000001
    http://www.alground.com/news/news.php?page=162



    non+autenticato
  • INTERESSA IL S.O. PIU'CHE IL BROWSER, CMQ NON E' STATA PACHATA ........... (e secondo i tempi di Microsoft ci vorranno forse ancora 180 gg ..... vedi tempi patch ASN1)


    Foxmail: Buffer Overflow ed Esecuzione di Codice da Remoto
    29/03/2004
    Impatto: Esecuzione di codice arbitrario, Accesso Utente da Remoto
    Versione: 5.0.300.0
    Sistema Operativo: Windows(tutti) testato su Windows 2000
    Una vulnerabilità di tipo buffer overflow è stata riportata in Foxmail. Un utente remoto può eseguire codice arbitrario sul sistema.
    http://www.alground.com/news/news.php?page=181



    non+autenticato
  • Ho visto tre o quattro varianti di questo exploit, in pratica dopo aver clicato sul link vengono salvati alcuni files su disco, riavviata la macchina e al seguente riavvio parte un bat che elimina tutti i files in root, e chissa' cos'altro combina.
    Comunque il tutto appare in un url di tipo http://www.****.com/nomedir/nomefile.jpg
    dove nomefile.jpg e' in realta' il nome di una directory, infatti cliccando sul link col mio fido firebird, mi aspettavo di vedere un image cannot be displayed (contains errors)mentre vedo apparire la pagna incriminata(ovviamente non ha eseguito codice alcuno, dato che firefox non e' un colabrodo portatore di mali come IE).
    Tra l'altro credo che non sia cosi' complicato sfruttare lo stesso buco su outlook(senza neanche cliccare, ricevi la mail e sei fregato) ma forse si fa prima a mandare il link e a aspettare che qualcuno ci clicki sopra.
    Per concludere, usate Mozilla Firefox
    http://www.mozilla.org/products/firefox/
    non+autenticato
  • è possibile indicare uno dei link incriminati?
    non+autenticato
  • quello di usare un browser alternativo è sempre la soluzione migliore.... senza fare i soliti confronti (direi ormai inutili!!!)

    Ankio uso Mozilla ed ovviamente questi problemi non esistono, purtroppo però il problema credo sia a monte:
    - alcuni siti (ad esempio banche) per questioni DI SICUREZZA (e qui ci sarebbe solo a ridere per i sistemisti che hanno, probabilmente il trio marchesini con fiorello, panariello e alcuni di Zelig!) chiedono l'uso solo di Explorer ... non sto scherzando...
    - altri siti per acquisti on line stessa cosa (probabilmente con altri sistemisti comprati alla fisher price)

    quindi l'inculata è doppia... anche chi vorrebbe evitare e proteggersi si ritrova a usare una cosa bacata....

    fortunatamente vige sempre il buon senso.... almeno quello ....
  • - Scritto da: Bambù
    > il problema credo sia a monte:
    > - alcuni siti (ad esempio banche) per
    > questioni DI SICUREZZA (e qui ci sarebbe
    > solo a ridere per i sistemisti che hanno,
    > probabilmente il trio marchesini con
    > fiorello, panariello e alcuni di Zelig!)
    > chiedono l'uso solo di Explorer ... non sto
    > scherzando...

    Ma se la tua banca ti dicesse che per entrare dentro devi indossare per forza scarpe nike, mentre tu porti le clarck, cambieresti scarpe o banca?
    non+autenticato

  • Questa notizia non esiste, in quanto non fa notizia.

    Lo sanno anche i sassi ormai che ogni settimana esce il nuovo baco di ecsplorer, sembra un'edicola !!!

    TrollTrollTroll
  • Veramente questo è gravissimo !!Deluso
    Perchè non arrestano i programmatori della Microsoft ?
    :s
  • La notizia sensazionale è l'ennesimo annuncio dell'ennesimo bug con il record persistentE di utilizzo di Internet Explorer.

    E quale rovescio della medaglia il record mondiale (perchè
    questo è) di inconsapevolezza degli utilizzatori che permane. Non della casa madre, che ormai è chiaro, non è così distratta o incapace. I bugs e le cosiddette "vulnerabilità" (in prevalenza
    sfruttate con i celebri buffer-overflow) RILEVATE in quantità
    industriale in IE non possono essere più considerate errori o sviste da parte della casa madre. Vedi URL moniker per i
    browser non IE. Paranoia?
    Può darsi, ma i fatti sono fatti e se poi consideriamo il tempo
    impiegato prima che una delle falle venga "sistemata" ed il
    tempo che trascorre prima che una nuova venga scoperta
    ebbene: queste notizie sono davvero sempre sensazionali.

    La costante sembra essere sempre il controllo (in senso lato).
    Personale opinione: questo aspetto nella nostra cultura non è
    ancora collaudato, nel campo IT, come invece lo è per i nostri
    o$piti con il vizio di espansionismo. Ma ci si stà muovendo in
    questa direzione.

    Quindi chi non è "buggato" diventerà fuorilegge? Eh! questa
    sembrerebbe essere la tendenza. Intanto c'è chi persistE nel
    dire "ah già detto, già sentito!" e poi apre IE Deluso


  • - Scritto da: Arroso

    > Quindi chi non è "buggato"
    > diventerà fuorilegge? Eh! questa
    > sembrerebbe essere la tendenza. Intanto
    > c'è chi persistE nel
    > dire "ah già detto, già
    > sentito!" e poi apre IE Deluso

    Come tu dici il problema fondamentale è che effettivamente in italia (e forse anche nel mondo) chi sa usare un computer è una percentuale minima di quelli che effettivamente lo suano.
    Il problema è che la percentuale maggiore è costretta a usarlo o lo usa come un samplice elettrodomestico, senza capire che usare FireFox invece di ecsplorer fa bene a tutti.
    Per queste persone un browser vale l'altro semplicemente perchè non hanno la minima idea di cosa sia un browser.
    Loro sanno che per usare internet (e notiamo il termine "usare") bisogna clickare (termine straabusato) sull'icona "internet " del monitor.

    Io sono giunto a una conclusione: chi non sa usare il computer lo si riconosce subito dall'uso che fa del desktop.
    Chi non sa usare il pc ha il desktop con le seguenti caratteristiche:

    - è strapieno di icone ordinate automaticamente
    - la maggiro parte di queste icone sono collegamenti ad applicazioni installate
    - molte sono .EXE di installazione di applicazioni scaricate da internet e GIA' installate
    - quando gli dici perchè non le cancellano rispondono che non sanno cosa siano e non voglino far casini

    Di questi desktop ne ho visti migliaia e mi fanno una trsitezza infinita, perchè sono indice di totale mancanza di impegno e approfondimento degli strumenti usati quotidianamente.

    Ci troviamo in un mondo in cui la gente non ha voglia id imparare nulla, tanto meno una cosa complicata come un sistema operativo.

    Se a ciò uniamo il fatto che il software micro$oft è generalmente una monnezza è facile capire come internet sia infestata di virus.

    La colpa di tutto è di micro$oft, che ha tirato su una generazione che crede che il pc sia una cosa semplice e pretende di usarlo senza sforzo.

    Purtroppo le tattiche di mercato criminali di micro$oft hanno fatto si che fino a uqlahce tempo fa questa detenesse il monopolio dei desktop.... se il mercato fosse in una situazione di normale concorrenza e quindi il settore dei desktop fosse spartito in Apple, Amiga, Linux e altri il mondo sarebbe un posto migliore e internet pure.

  • proprio così amicoTriste
  • In pratica leggendo l'articolo e giudicando che il 99% degli utilizzatori di IE accedono al sistema come amministratori il CERT sta dicendo di non navigare più con IE fin quando la Microsoft non rilascerà un patch, praticamente qualche mese se si è fortunati altrimenti settimane, visto che non credo che chi naviga controlli tutti i link uno ad uno perchè sarebbe folle,....spero che in questo tempo la gente provi altri browser o meglio altri OS e magari invii mail di protesta alle banche che permettono l'accesso al servizio solo tramite IE è una vergogna, e non cominciate a dirmi io ho l'antivirus io ho il firewall ecc ecc.... è incredibile come la gente con questi benedetti antivirus, antispayware, firewall ecc ecc non si accorge che non si sta difendendo da nient'altro che il suo stesso OS ma possibile? vi sembra normale? e cmq chissà da quanto tempo la falla girava e viva il close source .......non è mai troppo tardi per cambiare!!!! la mia non è la solita polemica ma una considerazione inevitabile!!!
    non+autenticato
  • Ma vale davvero la pena di usare questo "browser" che con i
    suoi ActiveX, HTA, Script e menate varie sono ANNI che è
    oggetto di patches e di bugs? Nn parliamo di Outlook poi...
    Con tutti i quattrini spesi con 95, 98, 98SE, ME ho dato la
    mia fiducia invano ad una "software" house che non è capace
    (o NON vuole) eliminare bugs degni di una vers. BETA.

    C'è chi ha scelto un altro OS e chi ha cambiato il browser.

    Nel mio caso ho eradicato IE ed i suoi accessori (Java e JS
    inclusi) per sostituirli con FireFox (Mozilla) e Java (Sun).
    Delle .DLL originarie dell'OS ne è rimasto il 30%. Quelle che
    sono utili. Sapete qual'è il risultato? Vola!
    Senza polemiche inutili o altro, volevo solo dire questo.



  • - Scritto da: Arroso
    > Ma vale davvero la pena di usare questo
    > "browser" che con i
    > suoi ActiveX, HTA, Script e menate varie
    > sono ANNI che è
    > oggetto di patches e di bugs? Nn parliamo di
    > Outlook poi...
    > Con tutti i quattrini spesi con 95, 98,
    > 98SE, ME ho dato la
    > mia fiducia invano ad una "software" house
    > che non è capace
    > (o NON vuole) eliminare bugs degni di una
    > vers. BETA.
    >
    > C'è chi ha scelto un altro OS e chi
    > ha cambiato il browser.
    >
    > Nel mio caso ho eradicato IE ed i suoi
    > accessori (Java e JS
    > inclusi) per sostituirli con FireFox
    > (Mozilla) e Java (Sun).
    > Delle .DLL originarie dell'OS ne è
    > rimasto il 30%. Quelle che
    > sono utili. Sapete qual'è il
    > risultato? Vola!
    > Senza polemiche inutili o altro, volevo solo
    > dire questo.
    >

    tu l'hai detto ma tanto il 90% della gente non lo capirà mai..........
    non+autenticato
  • Ci vuole tempo... le nuove generazioni saranno sempre meno "Microsoft dipendenti".
    Intanto proprio ieri sono passato con estrema soddisfazione a Firefox 0.8, è solo un giorno che lo uso e già mi trovo perfettamente a mio agio e non sono prioprio un ragazzino (ho passato i 30 da un pò) e nemmeno un informatico di professione.
    Abbi fede e un pò di pazienza.
    Fan Linux
    non+autenticato

  • - Scritto da: Arroso
    > Ma vale davvero la pena di usare questo
    > "browser" che con i
    > suoi ActiveX, HTA, Script e menate varie
    > sono ANNI che è
    > oggetto di patches e di bugs?

    Certo che vale la pena, tra poco con i breveti sw IE sarà L'UNICO browser esistente sulla faccia della terra...
    non+autenticato
  • Peccato che la Microsoft abbia comperato dalla Sun i listati di Geiko per modificare Explorer, che cosi' diventerà Netscape taroccato ????
    ;)

    ==================================
    Modificato dall'autore il 13/04/2004 11.30.10

  • - Scritto da: ziomaurizio
    > Peccato che la Microsoft abbia comperato
    > dalla Sun i listati di Geiko per modificare
    > Explorer, che cosi' diventerà
    > Netscape taroccato ????
    >Occhiolino
    EHHH! che caxx stai dicendo, dimmi che scherzi...perchè Gecko, è il motore di Mozilla, che non ha nulla a che vedere con SUN    
  • > Nel mio caso ho eradicato IE ed i suoi
    > accessori (Java e JS
    > inclusi) per sostituirli con FireFox
    > (Mozilla) e Java (Sun).
    > Delle .DLL originarie dell'OS ne è
    > rimasto il 30%. Quelle che
    > sono utili. Sapete qual'è il
    > risultato? Vola!

    Mi potresti dire come hai tolto tutto ciò che era inutile senza togliere ciò che invece serve? Io vorrei fare la stessa cosa ma ho il timore che il sistema vada in crash. Ci sono dei tool da usare?

    Grazie.
    non+autenticato
  • Non sono un purista quindi ho usato un metodo empirico e:

    * IEradicator, leva IE e/o parte della famigerata integrazione
       con Explorer (ci sono due versioni, cerca con google)

    * Apprendi l'assembler e punisciA bocca aperta
       in http://www.grc.com/freepopular.htm numerosi validi toolz

    * Tanta pazienza e perseveranza. io ho usato il metodo leva e
    verifica. Facendo sempre il backup PRIMA. Trova xref delle
    varie DLL e scoprirai quanta robaccia inutile possa esistere.
    Non è legalmente corretto intervenire sul software dello OS,
    stando alla licenza, ma neanche che si possa creare cotanto
    bloatware e installato in modo surretizio come in windows sul
    MIO pc.
  • > * IEradicator, leva IE e/o parte della
    > famigerata integrazione
    >    con Explorer (ci sono due
    > versioni, cerca con google)

    Ho trovato il sito del produttore, ma si può scaricare solo una versione Trial. Io ho Win2000 pro SP4 e con la versione trial non si può fare quasi niente di utile. Altri tool??

    > * Tanta pazienza e perseveranza. io ho usato
    > il metodo leva e
    >   verifica. Facendo sempre il backup PRIMA.
    > Trova xref delle
    >   varie DLL e scoprirai quanta robaccia
    > inutile possa esistere.

    Come faccio a trovare i riferimenti alle varie DLL usate? Qualche tool? Ho provato a cercare con Google ma probabilmente non uso una stringa di ricerca abbastanza selettiva. Help.

    Grazie
    non+autenticato
  • nn ti voglio far perdere tempo: il win2000 non lo conosco a
    dovere, sorry
  • Uso Windows da anni e passare a Linux mi fa venire il mal di pancia per il solo fatto di dover ricominciare tutto dall'inizio ma di questi bug non se ne puo' piu'. Quando vado su internet mi sembra di andare in guerra: script disabilitati, explorer impostato al massimo livello di protezione, firewall, antivirus aggiornato al minuto, controllo continuo delle sessioni aperte, taskmanager sempre attivo... BASTA! Ma se po' campa' cosi'? La no-disclosure non fa' che il gioco dei cracker e di chi produce spyware perche' loro questi bug li conoscono e li sfruttano finche' durano. Se venissimo avvisati prima potremmo prendere, dove possibile, le nostre precauzioni ma se mantengono il silenzio ci fanno il c**** a strisce.
    E' come calarsi nudi in una vasca di piranha...
    Saluti a tutti
    P.S. appena posso mi procuro una distribuzione linux (qualche consiglio?) e comincio a farmi le ossa.
    Saluti a tutte le vittime di M$
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)