Microsoft stucca otto falle di IE

Pubblicato un bollettino di sicurezza straordinario che corregge otto vulnerabilità di Internet Explorer, tra le quali quella utilizzata nei recenti attacchi a Google e altre aziende

Roma – Nelle scorse ore Microsoft ha reso disponibile un aggiornamento cumulativo di sicurezza per Internet Explorer che corregge vulnerabilità vecchie e nuove, tra le quali quella utilizzata per gli attacchi a Google e a decine di altri grossi network aziendali.

L’aggiornamento è contenuto nel bollettino straordinario MS10-002 , che Microsoft ha pubblicato al di fuori del suo tradizionale ciclo dei rilasci e con quasi tre settimane di anticipo rispetto ai bollettini di febbraio.

Tra le vulnerabilità più urgenti c’è quella sfruttata dai cracker cinesi per bucare Google, identificata come CVE-2010-0249, la quale è presente in tutte le versioni di Internet Explorer comprese fra la 6 e la 8.
Sebbene Microsoft abbia più volte sottolineato come, fino ad oggi, gli unici attacchi che sfruttano questa falla siano stati diretti contro IE6, negli scorsi giorni sono stati avvistati su Internet degli exploit apparentemente in grado di funzionare anche con IE7 e IE8. Tali exploit sono una variante di quello originale, conosciuto come Hydraq , il cui codice è nel frattempo diventato di pubblico dominio.

Va però sottolineato come IE7 e IE8 implementino meccanismi di sicurezza che, associati a quelli dei più recenti sistemi operativi di Microsoft, rendono molto più difficile lo sfruttamento di questa vulnerabilità. Dino Dai Zovi , noto esperto di sicurezza che ha analizzato a fondo i nuovi exploit, sostiene che l’unico modo per farli funzionare è quello di disattivare manualmente le funzioni di sicurezza Address Space Load Randomization e Data Execution Prevention .

Lo scorso martedì Jerry Bryant, membro del Microsoft Security Response Center (MSRC), ha spiegato in questo post che tra le applicazioni potenzialmente vulnerabili ci sono quelle che utilizzano la libreria di rendering mshtml.dll , come ad esempio le versioni di Outlook precedenti alla 2007, Outlook Express e Windows Live Mail: anche in questo caso, però, Microsoft afferma che le configurazioni di default dovrebbero rappresentare una solida difesa per l’utente. In ogni caso, Microsoft assicura che l’installazione dell’aggiornamento MS10-002 risolve il problema in tutte le applicazioni che ne sono afflitte.

Le altre 7 vulnerabilità corrette da questo aggiornamento interessano tutte le versioni di IE a partire dalla 5.01, e sono considerate della massima pericolosità in tutte le edizioni di Windows tranne che nella Server 2003, dove il rischio è definito “moderato”. A seconda del caso, le debolezze riguardano il cross-site scripting, la validazione degli URL e la corruzione della memoria, e tutte – tranne una – sono potenzialmente sfruttabili per eseguire del codice a distanza.

“Viste le diverse applicazioni che possono usare il componente vulnerabile, l’attacco potrebbe essere realizzato in tutti i diversi modi (navigazione Internet, email o documenti Office) che veicolano contenuti in formato HTML” ha spiegato Feliciano Intini, chief security advisor di Microsoft Italia, in questo post . I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato equivale a meno rischi. Solo la vulnerabilità CVE-2010-0249 era già pubblica”.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Maschio an ALFA beta scrive:
    ahhh finalmente, asciutto
    In effetti non so se questo articolo sia di per sé utile. Ma è come i culetti lines: asciutto e pulito.E a ME personalmente servirà quando devo, in due secondi, dire "come funziona" questa tal faccenda o quella tal'altra del "mondo internet".e quindi grazie: per me questo è UGC, non UGE.Detto questo devo dire che molte persone che conosco mescolano le proprie conversazioni come hai detto e lo stesso fanno con i propri BLOG (no microblog, no social) : 10 post di cazzeggio, 1 post TECNICO.Quel post tecnico diventa spesso uno dei preferiti di qualche altro utente: perché li dentro ci sono informazioni e soluzioni, anche se sia sopra che sotto c'è un post su cheppalle e su domaniceprovocoquella.:)Grazie Mafe.
  • Vindicator scrive:
    mah...
    secondo me avete passato troppo tempo ad aggiornare il vostro status su questi $siti_XXXXXXX invece che a parlarvi con persone vere.già mi frega poco del facciabuco, figuratevi quanto possa essere interessante sapere tutte le microcacate giornaliere che la gente sola scrive su twitter.fatevi una vita.
    • ephestione scrive:
      Re: mah...
      FECEbook per me esiste solo come mezzo pubblicitario gratuito, ed anche se poi non funziona, "tanto è gratis" e le informazioni che gli fornisco sono appunto solo quelle che VOGLIO vengano diffuse e spiattellate in giro il più possibile, insomma fa il mio gioco per il modo in cui lo uso, ma per il tutto resto lo aborrisco.Twitter invece... è "diverso", due delle frasi degli sviluppatori che secondo me hanno davvero molto senso sono:1) "Twitter is useless, just like ice-cream"2) "You can't explain what twitter is for, you just need to start using it"Twitter lo "uso" senza particolare convinzione, ma in maniera se non altro "informativa" a mio modo, e sicuramente correlata al discorso di fecebook, lavorativo/pubblicitario quindi.
      • CCC scrive:
        Re: mah...
        - Scritto da: ephestione
        FECEbook per me esiste solo come mezzo
        pubblicitario gratuito, ed anche se poi non
        funziona, "tanto è gratis" e le informazioni che
        gli fornisco sono appunto solo quelle che VOGLIO
        vengano diffuse e spiattellate in giro il più
        possibile, insomma fa il mio gioco per il modo in
        cui lo uso, ma per il tutto resto lo
        aborrisco.dal momento in cui ci sei dentro sei TU che fai il gioco di f e non certo il contrario, qualsiasi cosa tu ci metta dentro e quale che sia il modo con cui lo usi (o meglio, TI usa)
        Twitter invece... è "diverso", due delle frasi
        degli sviluppatori che secondo me hanno davvero
        molto senso
        sono:
        1) "Twitter is useless, just like ice-cream"certo... non serve a nulla se non a loro a fare soldi
        2) "You can't explain what twitter is for, you
        just need to start using
        it"mah... marketing di bassa lega... ma c'è ancora gente che abbocca a ca##ate del genere?
        Twitter lo "uso" senza particolare convinzione,
        ma in maniera se non altro "informativa" a mio
        modo, e sicuramente correlata al discorso di
        fecebook, lavorativo/pubblicitario
        quindi.cioè vuoi dire che usandoli lavori gratis per loro pubblicizzandoli (e dando loro modi di raccogliere e incorciare i dati tuoi e dei tuoi "contatti") attraverso il solo fatto di avere dei profili e dei "contati" legati a quesi profili?
        • ephestione scrive:
          Re: mah...
          come scrivevo prima, le "identità" che ho inserito su fecebook e twitter sono quelle che voglio vengano usate il più possibile, quindi tutto rientra in una logica di sfruttamento calcolato :PI tuoi ricami lessicali sono pertinenti solo fino ad un certo punto...
    • Maschio an ALFA beta scrive:
      Re: mah...
      - Scritto da: Vindicator
      secondo me avete passato troppo tempo ad
      aggiornare il vostro status su questi
      $siti_XXXXXXX invece che a parlarvi con persone
      vere.

      già mi frega poco del facciabuco, figuratevi
      quanto possa essere interessante sapere tutte le
      microcacate giornaliere che la gente sola scrive
      su
      twitter.

      fatevi una vita.molti non si possono fare una vita.personalmente ho trovato molte soluzioni a problemi di lavoro nei blog.molto spesso ho invece tastato il polso al pensiero della gente, alle sensazioni, conferme o smentite di quello che sentiamo al telegiornale, conferme o smentite del "sentire comune" apparente.Naturalmente scegliendo, e quindi con un "campione" che mi aggrada, per questo ultimo aspetto.Ma per i post tecnici molte volte un blog mi è stato più che utile, specie nei casi in cui i siti istituzionali CAMBIANO I LINK oppure fanno sparire la roba.Post di entusiasti, di gente che fa laXXXXX, di gente che è orgogliosa di una soluzione... non importa: utile!
      • gruppolo scrive:
        Re: mah...
        Ecco i due punti fondamentali che fanno esistere i social network.1. IO ESISTO2. POPOLO BUEPer la 1, tantissime persone sono fragili e cercano un modo di essere "validate", come la ragazzina che si mette in mostra dal fighetto di turno che fa le foto mentre è ubriaco.Per la 2., sappiamo come il mondo è pieno di stupidi, e vale la pena sfruttare questo fatto lanciando mode e tendenze.
  • Prof Daniele Pauletto scrive:
    Microblogging & Infotainment
    La comunicazione web evolve trasformandosi in infotaiment* subisce un drastico ridimensionamento/durata temporaleciò spiega il progressivo spostamento della blogosefra (blogging)sull' twittersfera (microblogging IM instant message)sul web ,sui blog, sulla posta elettronica dura solo 24 ore,sui social network qualche orasu strumenti di microblogging come Twitter pochi minutibombardati da informazioni di ogni tiposoggetti quindi ed effetti e fenomeni di overloaduna notizia per poter emergere erichiamare l'attenzione deve essere esagerata,aggressiva, violenta, spettacolorizzata,che susciti emozioni fortiAnche l'informazione mediale sievolve e trasforma sempre più in infotainment*,infotaiment-journalism,web-infotaiment,infotaiment-comunication,L'informazione originale pura,vera sembra in via d'estinzionema forse non ce ne siamo neanche accorti...Prof Daniele Pauletto
    • MeX scrive:
      Re: Microblogging & Infotainment
      sarà pure un Prof. ma "infotaiment" è davvero uno scempio di parola!
      • FinalCut scrive:
        Re: Microblogging & Infotainment
        - Scritto da: MeX
        sarà pure un Prof. ma "infotaiment" è davvero uno
        scempio di
        parola!è un termine vecchio e molto ben conosciuto in America.Come ad esempio "Spanglish" (Spanish+English) per contraddistinguere quello strano linguaggio che usano i messicani cercando di parlare inglese in California e Florida.(linux)(apple)
        • MeX scrive:
          Re: Microblogging & Infotainment
          ok, sarò ignorante ma resta bruttissimo :D
          • FinalCut scrive:
            Re: Microblogging & Infotainment
            - Scritto da: MeX
            ok, sarò ignorante ma resta bruttissimo :Dbeh è un termine dispregiativo, in Italia il classico esempio è "Studio Aperto" il TGcon più "culi" che notizie... (linux)(apple)
          • MeX scrive:
            Re: Microblogging & Infotainment
            ah ok se è per parlare di cose brutte allora m piace :D
          • ullala scrive:
            Re: Microblogging & Infotainment
            - Scritto da: MeX
            ok, sarò ignorante ma resta bruttissimo :DPer una volta siamo daccordo!Che sta succedendo?Sono preoccupato! :|
          • MeX scrive:
            Re: Microblogging & Infotainment
            siamo d'accordo che sono ignorante su un neologismo inglese o che il termine é brutto?
          • ullala scrive:
            Re: Microblogging & Infotainment
            - Scritto da: MeX
            siamo d'accordo che sono ignorante su un
            neologismo inglese o che il termine é
            brutto?Haimè!:'( che il termine è brutto!Sennò mica ero preoccupato!
    • Picchiatell o scrive:
      Re: Microblogging & Infotainment
      - Scritto da: Prof Daniele Pauletto
      La comunicazione web evolve trasformandosi in
      infotaiment*

      subisce un drastico ridimensionamento/durata
      temporale
      ciò spiega il progressivo spostamento della
      blogosefra
      (blogging)
      sull' twittersfera (microblogging IM instant
      message)
      sul web ,sui blog, sulla posta elettronica dura
      solo 24
      ore,
      sui social network qualche ora
      su strumenti di microblogging come Twitter pochi
      minuti
      veramente si tratta di una moda, l'uso di blog e twitter per la maggioranza delle persone e' una moda spinta da altre persone che trovano ricavi nei primi. con twitter ci si mette meno in gioco di un blog ect ect ect....le mode delle reti neli ultimi anni ha portato verso la minimizzazione nell'impegno ad usarla....poi se parliamo di "informazione" non facendo lo sbaglio di conforderla con la "cronaca" e lasciando da parte facebook twitter et similia che con informazione entrano com i cavoli a merenda ( sono solo strumenti nelle mani di pubblicitari) la rete e' in molte nostre regioni e'l'unico strumento di sapere per l'individuo...che vogliamo parlare di tv italiana ? di biblioteche di alcuni comuni? di strutture scolastiche ?
Chiudi i commenti