Microsoft spegne un elemento di IE

Per impedire il ripetersi di attacchi simili a quelli che di recente hanno portato alla violazione di siti Web e PC, Microsoft ha rilasciato una modifica che disattiva una funzionalità ActiveX

Redmond (USA) - In risposta all'urgente necessità di fermare gli attacchi che, sulla scia di Download.Ject, hanno recentemente interessato gli utenti di Internet Explorer, Microsoft ha pubblicato una patch per Windows che modifica un aspetto basilare del comportamento del proprio browser.

L'aggiornamento, descritto in questo articolo della Microsoft Knowledge Base, riguarda una funzionalità di IE che consente ad un controllo ActiveX chiamato ADODB.Stream di leggere e scrivere file sull'hard disk locale. Sebbene non si tratti di un bug di sicurezza ma di una caratteristica prevista dai creatori del software, la funzione ADODB.Stream è stata di recente utilizzata da alcuni cracker per inoculare sul computer degli utenti dei programmi malevoli, tra cui keylogger in grado di rubare password, numeri di carte di credito ed altri dati personali. Gli aggressori hanno infatti scoperto che tale controllo ActiveX poteva essere sfruttato in congiunzione con alcune falle di IE per eseguire del codice JavaScript sul computer dell'utente e installarvi un cavallo di Troia scaricato da un sito Web remoto.

"Un oggetto di tipo stream ADO rappresenta un file in memoria. Tale oggetto contiene diversi metodi per la lettura e la scrittura di file binari e di testo", si legge nell'articolo tecnico KB870669 pubblicato da Microsoft. "Quando questa funzionalità by-design (ovvero, prevista in fase di progetto) è combinata con alcune note vulnerabilità di sicurezza di IE, un sito Web può eseguire script nel contesto di sicurezza Local Machine. Questo comportamento è causato dal fatto che l'oggetto ADODB.Stream, quando ospitato in IE, consente l'accesso all'hard disk".
La nuova patch, disponibile anche su Windows Update, disattiva la funzione incriminata: se una pagina Web tenta di usare un oggetto ADODB.Stream viene generato un messaggio di errore ActiveX.

Stephen Toulouse, security program manager del Security Response Center di Microsoft, ha spiegato che la modifica, benché permanente, va considerata una soluzione temporanea al problema.

"In aggiunta a questo cambiamento nella configurazione del software, che proteggerà i clienti contro le attuali minacce riportate di recente, Microsoft sta lavorando ad una serie di aggiornamenti di sicurezza per IE che, nelle prossime settimane, forniranno ulteriori protezioni ai nostri clienti", ha scritto Microsoft in un comunicato.

Nel suo ultimo bollettino di sicurezza, il CERT ha ripetuto la propria raccomandazione di utilizzare un browser alternativo a quello di Microsoft. Il SANS Institute ha di recente affermato che "continuare ad usare IE è come giocare alla lotteria" o, come suggerito da qualcuno con un gioco di parole, "alla roulette russa": russi sono infatti gli autori di Download.Ject e di Bankhook.

Microsoft ha ricordato che "verso la fine dell'estate" rilascerà l'SP2 per Windows XP, il più corposo e complesso aggiornamento di sicurezza mai creato dal big di Redmond.
TAG: microsoft
154 Commenti alla Notizia Microsoft spegne un elemento di IE
Ordina
  • ... in effetti utilizza dei workaround, e magari elimina delle funzionalità, però è molto rapida nel divulgare le patch che con assoluta certezza risolvono in maniera DEFINITIVA i problemi che eventualmente affliggono i suoi software.

    Grazie.


    http://www.lastknight.com/Problemi-con-la-Patch-di...
    non+autenticato
  • Un lato positivo dei problemi che i vari crackers causano ad IE sta nel fatto che, così facendo, è come se lavorassero per la Microsoft, gratis però (spero che continuino a non rendersene contoSorride)
    Perchè, scovando continuamente nuove falle nel sistema, aiutano i programmatori di Redmond a trovarle.
    Sono certo che anche gli altri browsers sono pieni di bugs, ma molti non vengono scoperti e corretti per il semplice motivo che non ce n'è bisogno...perchè nessun cracker si mette al lavoro per sfruttarli a scopo malevolo.
    Tutti i crackers, infatti, lavorano per Microsoft.
    Li ringrazio tutti, anche a nome del mio IE 6 (che sempre funzionò perfettamente e mai diede problema alcuno...basta saperlo usare come Dio comanda, non come lo usano il 90% degli utonti).
    Fan Windows
    non+autenticato

  • - Scritto da: Anonimo
    > Un lato positivo dei problemi che i vari
    > crackers causano ad IE sta nel fatto che,
    > così facendo, è come se
    > lavorassero per la Microsoft, gratis
    > però (spero che continuino a non
    > rendersene contoSorride)
    > Perchè, scovando continuamente nuove
    > falle nel sistema, aiutano i programmatori
    > di Redmond a trovarle.

    in pratica gli utenti di windows sono gli unici a pagare per questo "scambio di favori"

    e mi spiego:

    microsoft fornisce ai crakers utonti da spennare.

    i crackers fanno le pulci al beta-software di microsoft

    ..

    un'ottima accoppiata...


    > Sono certo che anche gli altri browsers sono
    > pieni di bugs,

    è un credo religios, il tuo?

    oppure sei in gradi di dimostrarlo?

    > Tutti i crackers, infatti, lavorano per
    > Microsoft.

    grazie della conferma

    Avevo sempre pensato che un monopolio avesse bisogno dell'illegalità per diventare tale.

    non+autenticato
  • > Sono certo che anche gli altri browsers sono
    > pieni di bugs, ma molti non vengono scoperti
    > e corretti per il semplice motivo che non ce
    > n'è bisogno...perchè nessun
    > cracker si mette al lavoro per sfruttarli a
    > scopo malevolo.
    balle.
    un browser che faccia il browser ha molto meno codice da correggere, quindi meno bug e debug più semplice, inoltre i bug che ne possono uscire non sono nemmeno lontanamente paragonabili ad quelli di exploder a causa della stretta integrazione di exploder con il sistema operativo, cioè spesso una falla di exploder è estremamente compromettente per l'intero sistema mentre su un browser a sè stante questo è molto molto molto improbabile.
    non+autenticato
  • Non vi piace? Non usatelo, leggetevi contenti la notizia e smettetela. Cosa volete che chi usa contento i prodotti microsoft vi dica bravi?
    Va bene, bravi siete contenti?
    Sento queste discussioni continuamente da gente che vuol fare l'alternativa perchè per i motivi più disparati non può avere una cosa. Tanto questa gente si impunta da crederci veramente e diventare un nemico di tutto ciò che usano le altre persone. Andate nei discount. La gente con pochi spicci compra cola cola, cioccotella ed altri nomi che sembrano usciti da una puntata dei simpson. Gente che non può spendere troppi soldi o non vuole (magari so tirchi). Ebbene loro non ammetteranno che i loro prodotti sono sottomarche ma anzi ne ho sentite alcune incredibili?
    "cosa ha la coca cola che non ha la mia?"
    "se ti ci abitui è meglio della nutella"
    Magari per IE avete anche ragione, qua non voglio indagare, ma sentirvi fare tanta cagnara è proprio la dimostrazione che siete questo tipo di persone, che quando fate i diversi dalla massa vi sentite degli idioti e quando per una volta sentite di avere ragione fate il giro dei colleghi con la faccia da idioti ad aspettare che la gente vi mandi a quel paese. Tali sono molte persone che vengono qui e che fanno la grandezza di questo sito che vedo sa scegliersi bene le notizie per attirare migliaia di idioti che credono veramente che il fatto che microsoft possa cadere gli cambierà la vita. Tanto non vi cambierà nulla, continuerete a riempire fascicoli, lo farete in linux ma sempre fascicoli riempirete. Chi ci guadagna veramente con il software non fa questo genere di discorsi finchè non si offende il proprio prodotto e non credo che tutti questi post siano opera dei produttori di IE, Mozilla e compagnia bella.
    non+autenticato

  • - Scritto da: Anonimo
    > Non vi piace? Non usatelo, leggetevi
    > contenti la notizia e smettetela. Cosa

    Certo che non lo usiamo.


    Però se permetti ci girano anche un po' le scatole tutte le volte che apriamo la casella di posta o accediamo ad un forum usenet e li troviamo inondati di post virali o di notifiche degli antivirus.... Ovvio che alla fine andiamo a dire peste e corna del buco con un browser intorno....
    non+autenticato
  • non mi pare necessario, poi voi usate browser sicuri, perchè vi dovrebbero arrivare virus?
    Perchè lamentarsi come idioti dicendo peste e corna se non lo usate? E' meglio Opera? 5 mega ed eccolo li, è meglio Mozilla? altri 5 mega e state di nuovo apposto. IE sta buono li sotto e avete finito i problemi.
    Perchè fare la figura dei trolloni, il vostro passatempo è far arrabbiare la gente? Capisco che può essere divertente per qualche minuto ma poi basta. Una volta che passo al sistema che vi piace cosa vi ho risolto? Non credo che otterete particolari benefici
    non+autenticato

  • - Scritto da: Anonimo
    > non mi pare necessario, poi voi usate
    > browser sicuri, perchè vi dovrebbero
    > arrivare virus?

    Vedo che hai capito tutto del mio post.... spero per te che tu abbia risposto senza neppure leggerlo...




    non+autenticato

  • - Scritto da: Anonimo
    > non mi pare necessario, poi voi usate
    > browser sicuri, perchè vi dovrebbero
    > arrivare virus?
    > Perchè lamentarsi come idioti dicendo
    > peste e corna se non lo usate?
    ......................
    > Perchè fare la figura dei trolloni,
    > il vostro passatempo è far arrabbiare
    > la gente? Capisco che può essere
    > divertente per qualche minuto ma poi basta.
    > Una volta che passo al sistema che vi piace
    > cosa vi ho risolto? Non credo che otterete
    > particolari benefici

    Far arrabbiare la gente eh?
    Un po' di tempo fa l'imbecille di turno (che neanche conoscevo tra l'altro) si e' preso un virus e ha cominciato a mandarmi qualcosa tipo 100/200 email al giorno...
    AL GIORNO! non alla settimana, occhio.. tutte email identiche col solito allegato.
    Io uso linux e me ne frego del virus... ma ricevere tutto sto traffico email non ti pare che fa girare le @@??
    Capisci perche' ci si lamenta ora? ti sembro un trollone se mi altero di fronte a certi utonti? dimmi un po' tu....

  • Non si può andare avanti così !

    E' possibile che ogni settimna ce ne sia una con sto cavolo di IE ?
    non+autenticato
  • http://slate.msn.com/id/2103152/

    sembra che i win-maniac siano stati lasciati soli a difendere i buchi svizzeri di Exploder.

    Gli utenti di windows più seri hanno aperto gli occhi
    non+autenticato
  • Articolo intelligente ma con tutte le cautele del caso :

    You've probably been told to dump Internet Explorer for a Mozilla browser before, by the same propeller-head geek who wants you to delete Windows from your hard drive and install Linux. You've ignored him, and good for you.

    Microsoft wiped out Netscape in the Browser Wars of the late 1990s not only because the company's management pushed the bounds of business ethics, but also because its engineers built a better browser

    The company now rolls out only an occasional fix as part of its Windows updates. Gates and company won the browser war, so why keep fighting it?

    Firefox eschews ActiveX and other well-known infection paths. You can configure it to automatically download most files when you click on them, but not .exe files, which are runnable programs. I thought this was a bug before I realized Firefox was saving me from myself, since .exe files could be viruses or stealth installers.

    Firefox also adds a productivity feature that Explorer has never gotten around to: tabbed browsing.

    That said, be aware that getting started with Firefox isn't a one-click operation. After installing the browser, you'll need to reinstall plug-ins for some programs, as well as Sun's Java engine for any Java-powered pages

    Once you're set up, it still takes a day or two to get used to the interface and feature differences between Explorer and Firefox, as well as the fact that your favorite sites may look a little different.

    Will Firefox make your computer hackproof? Even Mozilla's spokespeople stress that no software can be guaranteed to be safe, and that Firefox's XPInstall system could conceivably be tricked into installing a keystroke logger instead of Sun's Java engine. But for now, there's safety in numbers?the lack of them, that is. Internet Explorer is used by 95 percent of the world. Firefox's fan base adds up to 2 or 3 percent at most. Which browser do you think the Russian hackers are busily trying to break into again?

    Anlan
    1327

  • - Scritto da: Anlan
    > Articolo intelligente ma con tutte le
    > cautele del caso :
    ...

    di fronte alla Caporetto della sicurezza stai ancora a cercare scuse per non migrare?

    Avrai i tuoi motivi.

    Ma chi usa windows e non vuole essere travolto dalle carenze di supporto del monopolio avrà pure diritto a cercarsi un'alternativa più sicura o no?

    benvenuti Mozilla/Firefox/Opera!
    buona installazione a tutti



    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 23 discussioni)