Internet Explorer, ancora lui

L'elenco delle vulnerabilità di IE si allunga ancora, mentre il nuovo Service Pack rilasciato da Microsoft copre solo una parte di quelle più datate. E si scopre che diverse piccole falle, sfruttate insieme da un attaccante esperto, rappresentano un problema serio.



[ZEUS News - www.zeusnews.it - 11-09-2002]

Il team di Grey Magic Software ha recentemente pubblicato un articolo nel quale descrive una falla scoperta in IE all'inizio dello scorso agosto: un difetto di implementazione del motore di rendering HTML consente all'attaccante di eseguire codice arbitrario sul computer che visiti una pagina web suddivisa in settori mediante le tags frame o iframe. La medesima vulnerabilità consente inoltre all'attaccante di leggere i cookies e, in generale, i files della vittima, nonché di assumere l'identità di altri siti.

La vulnerabilità, molto pericolosa in sé, risulta ancora più grave in quanto indipendente dalle impostazioni di sicurezza del browser: l'unico modo per mettersi al sicuro è disabilitare l'Active Scripting di IE o, come suggerisce The Register, utilizzare un altro browser.

Grey Magic Software pubblica anche un frammento di codice in grado di sfruttare la falla per leggere i cookies della vittima: è facile prevedere che ciò provocherà le ire di Microsoft, da sempre sostenitrice dell'esistenza di un presunto obbligo di segretezza a carico di chiunque scopra vulnerabilità. Ma nessuno potrebbe definire irresponsabile il comportamento di GMS: infatti, dal momento della scoperta della falla (e della sua segnalazione a Microsoft) a quello della pubblica diffusione delle informazioni, è trascorso oltre un mese: nel frattempo sarebbe stato, piuttosto, preciso dovere di Microsoft informare tempestivamente i suoi clienti e far pervenire loro una patch adeguata.

Invece, a quanto pare, in quel di Redmond il problema non è avvertito come prioritario: il service pack 1 per Internet Explorer 6, rilasciato il 9 settembre dopo svariati tentennamenti nel mese di agosto, non solo non risolve la vulnerabilità di cui ci stiamo occupando, ma, anzi, ne lascia insolute diverse altre di vecchia data. Evidentemente esse non sono ritenute critiche, o almeno non abbastanza per investire tempo e denaro nel ricercare una soluzione definitiva.

Senza contare che chi abbia effettuato l'upgrade da IE 5.5 a IE 6 prima di installare il Service Pack 1, potrebbe prima o poi scoprire che la disinstallazione di quest'ultimo determina automaticamente anche la rimozione di Internet Explorer 6.

Ma non basta: come gli utilizzatori di Explorer rischiano di imparare a proprie spese, molteplici vulnerabilità di poco conto possono essere sfruttate in combinazione per portare a compimento attacchi di indiscutibile gravità: Malware.com dimostra che, sfruttando una falla nota da oltre un anno in Windows Media Player (tuttora priva di patch), unitamente a un paio di bachetti di Explorer (a loro volta noti da tempo), è possibile eseguire programmi a piacere sul computer vittima. Basta che l'utente di IE scarichi da una pagina web un pacchetto multimediale WMD contenente l'eseguibile, opportunamente dissimulato.

Malware.com ironizza sulla terminologia abitualmente utilizzata da Microsoft nei bollettini di sicurezza nel tentativo di minimizzare la portata delle vulnerabilità: "Non esistono 'fattori mitigantì e 'barrierè. E' una menzogna. Pura fantasia. Una invenzione. Correggete le falle il più in fretta possibile! Per ogni ragione per la quale voi credete che non si riesca a sfruttarle, ne esistono almeno 10 per le quali invece si riesce, eccome!"

Non possiamo che condividere, soprattutto perché ora Microsoft tenta di scaricare il barile sugli utenti, che, irresponsabili pelandroni, si ostinerebbero a non installare le patch con sufficiente prontezza.

Ragazzi, per favore, non siate ridicoli.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
''Chi sbarca in Italia va via per non morire, va via perché c'hanno una guerra, un maremoto... come fai a fermarli? Bisogna creare delle strutture intelligenti, inserirli piano piano a fare delle cose perché sono gente straordinaria. E' un processo di cui non se ne può fare a meno. Arrivano, arrivano a riprendersi un pochino di quello che gli abbiamo tolto in 200 anni''. Chi è?
(Vedi poi la soluzione)
Uno che non considera prioritario lo Ius Soli per dare diritti di cittadinanza ai figli della "gente straordinaria" che arriva in Italia.
Uno che non vuole abolire il reato di clandestinità per non portare il suo partito a percentuali da prefisso telefonico.
Uno che ordina ai suoi parlamentari un voto contrario alla legge che ha abolito in Italia il reato penale di clandestinità.
Uno che ha messo come requisito indispensabile per l'appartenenza al suo partito politico la cittadinanza italiana.
Uno che da normale cittadino diceva pacatamente cose di buon senso ma una volta entrato nei meccanismi del potere è costretto a dire e fare minchiate per tenere insieme milioni di ignoranti e razzisti che toglierebbero il voto a proposte pacate e di buon senso.
Tutti quelli nominati finora.

Mostra i risultati (1436 voti)
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Piracy Shield blocca Google Drive in tutta Italia
Windows 11 24H2 occupa un sacco di spazio su disco
Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti
Google rimuove Kaspersky dal Play Store
Ecco Office 2024, con un nuovo aspetto e senza abbonamento
Windows 11, l'update causa la schermata verde della morte
Settembre 2024
Frankenthings, un genocidio nell'Internet delle Cose
Groupon licenzia tutti e lascia l'Italia
La polizia tedesca ha infiltrato TOR: la rete anonima è ancora sicura?
Gli smartphone ci ascoltano? No, ma...
L'obbligo dei 14 anni per gli smartphone
''Ascoltiamo gli utenti dagli smartphone''. Partner di Facebook lo ammette.
Super God Mode rivela tutte, ma proprio tutte, le funzionalità di Windows
Tutti gli Arretrati
Accadde oggi - 1 novembre


web metrics