Morirà presto il nuovo vecchio buco di IE

Microsoft deve fare i conti con una vecchia falla di sicurezza di Internet Explorer che, riaffiorata nelle più recenti versioni del proprio browser, potrebbe essere utilizzata per mescolare il contenuto di due siti

Roma - In Internet Explorer è riaffiorata un falla vecchia di sei anni che potrebbe consentire ad un sito malevolo di alterare arbitrariamente il contenuto di un altro sito.

La società di sicurezza Secunia ha spiegato qui che il problema "consiste nel fatto che IE non impedisce ad una finestra del browser di visualizzare contenuti all'interno del frame di un'altra finestra". In altre parole, se un utente ha due finestre del browser aperte, una contenente il sito A (malevolo) ed una contenente il sito B (benevolo), il sito A può modificare il contenuto del sito B, ad esempio visualizzando frame, testo o link estranei. Questo può avvenire solo se il sito A viene aperto dopo il sito B.

La vulnerabilità, che Secunia definisce molto simile ad una (MS98-20) che interessava IE 3 e 4, si trova in tutte le più recenti versioni del browser di Microsoft, dalla 5.x alla 6. Per verificare la vulnerabilità del proprio browser è possibile effettuare questo test.
Alcuni esperti ritengono che questa falla, classificata da Secunia di rischio moderato, potrebbe essere utilizzata da malintenzionati per organizzare delle truffe on-line, ad esempio creando dei siti capaci di mescolare il contenuto di un sito noto, come ad esempio quello di un negozio on-line, e indurre l'utente a inserire gli estremi della propria carta di credito all'interno di falsi frame. I cracker potrebbero utilizzare lo stesso sistema per far scaricare agli utenti cavalli di Troia o altro tipo di malware.

Update (ore 1,30) - Come segnalato da diversi lettori sul forum della notizia, Secunia ha pubblicato qui un advisory in cui spiega che il problema che affligge IE è condiviso anche da diversi altri browser, incluse varie versioni di Opera, Mozilla, Firefox, Netscape, Safari e Konqueror. Mal comune mezzo gaudio?
TAG: microsoft
87 Commenti alla Notizia Morirà presto il nuovo vecchio buco di IE
Ordina
  • Ovvero, ho fatto come fanno tutti i sani e diligenti sistemisti *nix sulle loro macchine

    1. creo un utonto sul sistema WIN con limitatissime permissions (ovvero la sua home e poco altro), escludendolo ovviamente dalla gestione di tutte le cartelle di sistema
    2. mi loggo come administrator locale ma eseguo IE (outlook, e tutto il resto che si collega al mondo esterno) nel contesto dell'utonto...
    3. RISULTATO: con la security intrinseca attivata di IE e i limitatissimi diritti di utonto, l'exploit non funziona...

    Provato anche con

    http://www.greymagic.com/security/advisories/gm001... /

    E utilizzando questo metodo anche con Outlook e tutti i programmi che devono accedere a Internet, la sicurezza del sistema e' sicuramente piu' elevata
    Sorride

  • - Scritto da: Gianluca70
    ....
    > 1. creo un utonto sul sistema WIN con
    > limitatissime permissions (ovvero la sua
    > home e poco altro), escludendolo ovviamente
    > dalla gestione di tutte le cartelle di
    > sistema
    > 2. mi loggo come administrator locale ma
    > eseguo IE (outlook, e tutto il resto che si
    > collega al mondo esterno) nel contesto
    > dell'utonto...
    .....

    Certo che in questo modo la sicurezza aumenta...

    Ma Windows non doveva essere un sistema operativo alla portata di tutti ? E per essere alla portata di tutti non era meglio impostare correttamente le permission al momento dell'installazione ? E non era meglio anche evitare di nascondere e scoraggiare in tutti i modi la multiutenza ?"

    In ogni caso in questi casi penso sia meglio indossare la cintura e le bretelle, quindi preferisco utilizzare sia permission + multiutenza che dei sw meno bacati.
    non+autenticato

  • Ho provato ad andare su http://62.131.86.111/security/idiots/repro/install... ma non mi scarica nessun exe, mi appare solo la pagina vuota e basta.
    Ho Internet Explorer sp1, ho messo pure la protezione al minimo per fare la prova ma non funge.
    Come mai?Perplesso
    non+autenticato
  • USA Today: "Non usate Internet Explorer!!!"

    http://www.usatoday.com/tech/news/2004-07-01-cyber...


    Avete visto in tv la pubblicità di msm messenger? Guarda caso proprio mentre in tutto il mondo si levano allarmi che incitano a NON USARE prodotti Microsoft per motivi di sicurezza, il caro Bilghèiz promuove il suo sparamessaggini con lo slogan "Comunica in tutta sicurezza".........
    Hanno la faccia come il c*lo....e quando la cacca colpisce il ventilatore........
    non+autenticato
  • Prima:

    Usare mozilla 1.7Sorride

    Seconda

    Impostare il livello di protezione a livello alto.

    Terza

    Impostare "Esplora sotto frame in domin diversi": Disattivavarlo o metterlo solo su richiesta.

    Fine delle tre soluzioni.

    ciao

  • - Scritto da: pippo75

    > Impostare "Esplora sotto frame in domin
    > diversi": Disattivavarlo o metterlo solo su
    > richiesta.

    Funziona! Tutti a dare addosso a IE e la soluzione era così semplice...

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: pippo75
    >
    > > Impostare "Esplora sotto frame in domin
    > > diversi": Disattivavarlo o metterlo
    > solo su
    > > richiesta.
    >
    > Funziona! Tutti a dare addosso a IE e la
    > soluzione era così semplice...

    Già....


    ....e se poi alcuni siti sono costruiti in modo da utilizzare questa possibilità ? Cosa si fa ?



    TeX
    957

  • - Scritto da: pippo75
    > Prima:
    >
    > Usare mozilla 1.7Sorride

    La vostra è una sorta di mania antiMicrosoft, non sopportate una cosa che non sapete nemmeno com'è fatta.
    Un pò come quei ragazzi che partecipano a menifestazioni di protesta, ma non sanno nemmeno per cosa si protesta...loro lo fanno solo perchè lo fanno gli altri.
    Ho provato spesso Mozilla e, tuttavia, credo IE possa essere un ottimo browser...se lo si sa usare bene.
    Il vostro problema è che, se sapete che un programma è sviluppato da MS, solo perchè esso è tale, non vi sforzate nemmeno di imparare ad usarlo tanto bene quanto, invece, siete disposti ad imparare ad usare bene Mozilla.
    Agli amanti di Linux non viene mai il dubbio che, se sapessero usare Windows tanto quando sanno usare Linux, magari anche Windows funzionerebbe bene.
    non+autenticato

  • - Scritto da: Anonimo
    >
    ....
    > Agli amanti di Linux non viene mai il dubbio
    > che, se sapessero usare Windows tanto quando
    > sanno usare Linux, magari anche Windows
    > funzionerebbe bene.

    A _CERTI_ amanti di Windows non viene mai il dubbio che gli amanti di Linux spesso e volentieri lo sono diventati dopo essersi scacchiati per anni ad usare Windows.....

    Ah.... detto questo e rimanendo a Windows.... beh IExplorer è una schifezza il cui sviluppo è fermo da anni e le uniche modifice sono i bugfix (almeno li facessero bene....). Poi se a te piace... contento te contenti tutti....

    TeX
    957
  • Non riesco a capire anche perchè ad alcuni piace Internext explorer io non ci trovo niente di bello scusa ma che cosà ha di accattivante ? Per scaricare la posta devo usare un client a parte non mi fà vedere i siti XML è poi è lento a caricare quindi che c'è di tanto speciale.
    E' un prodotto scarso è molto scadente scasate ci sono prodotti alternativi come il mitico Opera, Mozilla e Firefox che sono 1000000000 volte migliori.
    Ragazzi aggiornatevi aggiornatevi (Mi riferiscono a quelli affezionati con il browser Microsoft)
    Io da quando uso il browser alternativo non ho avuto mai problemi del genere.
    Ricordate il bug che appena si collegava appariva un contatore che appena arrivava a 0 si resettava il pc ? questo succedeva se si navigava con il browser della Microsoft poi io avevo fatto una prova ho navigato con Opera ed on mi è apparsa nessuna finestra col contatore quindi il bug era nel browser della Microsoft.
    Poi sono spuntati migliaia di bug nel browser Microsoft quindi è meglio abbandonarlo e navigare con i browser alternativi Opera, Mozilla o Firefox poi fate come volete.
    Navigate con Interner explorer ed il pc lo potete portare sempre nel centro assistenza.

    Alcuni pensano che navigando con un firewall si è immune ?
    Sbagliato quando lancia Internet explorer ed il firewall ti dice che il browser stà comunicando con la rete tu ovviamente gli dici di Si (Permetti) quindi appena permetti di comunicare con la rete i virus entrano dalla porta del browser Internet explorer.

    - Scritto da: TeX
    >
    > - Scritto da: Anonimo
    > >
    > ....
    > > Agli amanti di Linux non viene mai il
    > dubbio
    > > che, se sapessero usare Windows tanto
    > quando
    > > sanno usare Linux, magari anche Windows
    > > funzionerebbe bene.
    >
    > A _CERTI_ amanti di Windows non viene mai il
    > dubbio che gli amanti di Linux spesso e
    > volentieri lo sono diventati dopo essersi
    > scacchiati per anni ad usare Windows.....
    >
    > Ah.... detto questo e rimanendo a
    > Windows.... beh IExplorer è una
    > schifezza il cui sviluppo è fermo da
    > anni e le uniche modifice sono i bugfix
    > (almeno li facessero bene....). Poi se a te
    > piace... contento te contenti tutti....
    >

  • - Scritto da: Gratisweb
    > Non riesco a capire anche perchè ad
    > alcuni piace Internext explorer io non ci

    Alè, la fiera dei luoghi comuni e dell'ignoranza.

    Intanto quando mai la posta si scarica con il browser, si usa sempre un client a parte se vuoi utilizzarla via pop3 e non via web. Il fatto che tale client sia facilmente raggiungibile da una voce di menù del browser (Mozilla, Opera) non significa che sia il browser stesso. Inoltre avere un client a parte per la posta è la cosa migliore, e ne esistono di migliori di OE.

    Poi quali sono i siti "xml" che IE non vede, visto proprio IE ha la maggior compatibilità con i siti (non fosse altro perché chi li realizza sa che dovranno essere visti soprattutto da IE), mentre i vari Mozilla e derivati Firefox, ancora non permettono di default una cosa così banale come la riproduzione dei suoni di sottofondo di un sito...

    Infine in ultimo il "contatore che resetta" è l'infezione di virus che sfruttano vulnerabilità di due servizi di Windows che non hanno nulla a che vedere con il browser, per le quali le patch esistono già da tempo. A cui si aggiunge l'ultima perla sul firewall e sul suo comportamento, come se fossero tutti uguali.

    non+autenticato


  • - Scritto da: Anonimo



    > Alè, la fiera dei luoghi comuni e
    > dell'ignoranza.
    >
    Ma sentento lo svarione detto sotto..


    > mentre i vari Mozilla e derivati Firefox,
    > ancora non permettono di default una cosa
    > così banale come la riproduzione dei
    > suoni di sottofondo di un sito...
    >

    ... SARà CHE NON è UN TAG STANDARD ?
    Visto che mozilla rispetta gli STandard web..
    non+autenticato
  • Internet explorer è ormai un software vecchio non più aggiornato pieno di bug di sicurezza non conta il fatto di saperlo usare poi non è tanto difficile !!!!!
    Se I.E ha i bug di sicurezza anche se si sà usare i bug non li puoi evitare come si fà ? Impossibile !!!!!!
    Poi ci sono le alternative Mozilla, Opera, Firefox che sono 10000000 volte migliori di I.E. quindi perchè non usarli
    E meglio usare un prodotto aggiornato invece di un prodotto non aggiornato.

    - Scritto da: Anonimo
    >
    > - Scritto da: pippo75
    > > Prima:
    > >
    > > Usare mozilla 1.7Sorride
    >
    > La vostra è una sorta di mania
    > antiMicrosoft, non sopportate una cosa che
    > non sapete nemmeno com'è fatta.
    > Un pò come quei ragazzi che
    > partecipano a menifestazioni di protesta, ma
    > non sanno nemmeno per cosa si
    > protesta...loro lo fanno solo perchè
    > lo fanno gli altri.
    > Ho provato spesso Mozilla e, tuttavia, credo
    > IE possa essere un ottimo browser...se lo si
    > sa usare bene.
    > Il vostro problema è che, se sapete
    > che un programma è sviluppato da MS,
    > solo perchè esso è tale, non
    > vi sforzate nemmeno di imparare ad usarlo
    > tanto bene quanto, invece, siete disposti ad
    > imparare ad usare bene Mozilla.
    > Agli amanti di Linux non viene mai il dubbio
    > che, se sapessero usare Windows tanto quando
    > sanno usare Linux, magari anche Windows
    > funzionerebbe bene.
  • Che bello sentire che c'è ancora chi tifa IE nonostante rimanga il browser meno compatibile alle W3C e l'unico a non avere ancora il sistema di navigazione con le tab A bocca aperta A bocca aperta A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > Che bello sentire che c'è ancora chi tifa IE
    > nonostante rimanga il browser meno compatibile
    > alle W3C e l'unico a non avere ancora il sistema
    > di navigazione con le tab A bocca aperta A bocca aperta A bocca aperta

    Il tuo post arriva con un ritardo di un anno e mezzo... ma stranamente è ancora attuale...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)