Grosso buco in IE, esperti in allerta

Microsoft ha avvisato gli utenti di Internet Explorer di un exploit in grado di sfruttare una falla la cui pericolosità era stata fino ad oggi sottovalutata. In attesa della patch, gli esperti raccomandano cautela


Roma – Nella comunità degli esperti di sicurezza è allarme rosso. A farlo scattare è stata la pubblicazione online di un exploit che, facendo leva su una grave falla di sicurezza di Internet Explorer, può essere utilizzato da malintenzionati per eseguire sul computer di un utente del codice dannoso.

L’exploit è stato scritto a scopo dimostrativo dalla società di sicurezza inglese Computer Terrorism e sfrutta un bug di IE nella gestione dei Javascript: pur essendo noto fin dallo scorso maggio, il baco è ancora privo di patch. In un advisory Microsoft ha spiegato che la reale gravità del problema è emersa solo negli scorsi giorni: prima della pubblicazione dell’exploit, infatti, gli esperti ritenevano che la vulnerabilità potesse essere utilizzata esclusivamente per causare sporadici crash del browser.

“La falla è dovuta al fatto che alcuni oggetti non vengono inizializzati correttamente quando la funzione windows() viene utilizzata in congiunzione con l’evento <body onload> “, ha spiegato Secunia in questo advisory . “Ciò può essere sfruttato per eseguire del codice arbitrario all’interno di un browser vulnerabile, servendosi di alcune righe di codice Javascript chiamate direttamente quando un sito viene caricato”.

Il problema sembra interessare tutte le versioni di Windows, tranne Windows Server 2003, su cui giri IE 5.x o 6.0 (ma potrebbe affliggere anche le versioni precedenti, non più supportate da Microsoft).

Quello che tutti consideravano uno spiffero senza troppa importanza si è dunque trasformato in una vera e propria breccia, forse una delle più pericolose dell’ultimo anno: Secunia non ha esitato ad assegnarle il suo più elevato livello di gravità, “extremely critical”, mentre l’ Internet Storm Center di SANS Institute ha portato l’ InfoCon , che misura lo stato di pericolo in Internet, a giallo.

A destare particolare preoccupazione è il fatto che l’exploit sia in grado di eseguire codice e comandi senza alcuna interazione da parte dell’utente: in questo esempio Computer Terrorism dimostra come sia possibile lanciare un programma, in questo caso la calcolatrice integrata in Windows, invitando semplicemente l’utente a cliccare su di un link. Sebbene gli esperti affermino che l’exploit funziona su tutte le versioni di Windows 2000 e XP (incluso l’SP2), su un PC di redazione (con Windows XP aggiornato alle ultime patch) il test ha parzialmente fallito, generando un errore irreversibile del browser. Provando con Firefox 1.07, invece, il codicillo ha l’unico risultato di rallentare il browser e generare alcune finestre di dialogo che possono essere chiuse solo “uccidendo” il processo che le ha generate. Gli esperti sostengono che il problema potrebbe interessare anche altri browser, ma la possibilità di sfruttarlo per eseguire del codice dannoso sembra circoscritta a IE.

In attesa che Microsoft distribuisca una patch, Computer Terrorism raccomanda agli utenti di IE di disattivare l’ Esecuzione script attivo dalle impostazioni di protezione del browser. Altri suggeriscono di utilizzare un programma alternativo, come Firefox o Opera.

Vista la serietà del problema, Microsoft potrebbe decidere di rilasciare una correzione nei prossimi giorni, anticipando i bollettini di sicurezza previsti per l’8 dicembre.

Nel proprio advisory di sicurezza il big di Redmond lamenta la “mancanza di responsabilità” di chi ha divulgato anzitempo i dettagli della falla.

Proprio negli scorsi giorni SANS ha pubblicato la classifica aggiornata delle 20 maggiori vulnerabilità di Internet. La società americana, che ha redatto il documento insieme al National Infrastructure Protection Center (NIPC) e all’FBI, sostiene che i cracker e i cyber-criminali in genere stanno spostando sempre più l’attenzione verso le applicazioni piuttosto che i sistemi operativi: al centro del mirino vi sarebbero dunque tutte le più popolari applicazioni per Internet, tra cui i browser, e software per la sicurezza come antivirus e firewall.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    woooooo!
    bene bene, gli oled mi sono proprio simpatici...la cosa che più mi attira è il fatto che NON consumano corrente per funzionare (o meglio: ne richiedono per cambiare immagine)[almeno su di un modello fujitsu]http://www.oled-info.com/images/products/prototypes/Fujitsu_Elec_Paper.jpg]e che sono ritagliabili...provate http://images.google.it/images?q=oled&svnum=10&hl=it&lr=&rls=GGGL,GGGL:2005-09,GGGL:it&sa=G&imgsz=woooooo! :| :| :| :o
    • Anonimo scrive:
      Re: woooooo!
      A quanto mi ricordo però, non ostante le foto di google che mi farebbero dire che mi ricordo male.Gli OLED emettono luce propria, e quindi hanno bisogno di essere alimentati anche per visualizzare un'immagine statica, i display di cui parli sono i così detti ePaper, moltopiù lenti nel cambiare immagine, ma sono pieghevoli e soprattutto una volta che hai deciso quale immagine fargli disegnare puoi anche staccargli la spina.
    • Anonimo scrive:
      Re: woooooo!
      Quella di cui parli tu è la cosidetta ePaper, che è anc'ora un'altra tecnolgia.Gli OLED (essendo LED) consumano continuamente corrente anche molta meno degli LCD TFT (che sprecano l'80% della luce).
      • Anonimo scrive:
        Re: woooooo!
        - Scritto da: Anonimo
        Quella di cui parli tu è la cosidetta ePaper, che
        è anc'ora un'altra tecnolgia.

        Gli OLED (essendo LED) consumano continuamente
        corrente anche molta meno degli LCD TFT (che
        sprecano l'80% della luce).mmmm.....è proprio vero....cmq 'ste tecnologie sono fantastiche!
  • Anonimo scrive:
    E come la mettiamo con la durata?
    Se non sbaglio, specialmente con il colore blu c'erano dei grossi problemi, nel senso che dopo sei mesi la luce emessa quasi si azzerava....Avranno risolto o si aspettano che io cambi la tele ogni 6 mesi?
    • Anonimo scrive:
      Re: E come la mettiamo con la durata?
      - Scritto da: Anonimo
      Se non sbaglio, specialmente con il colore blu
      c'erano dei grossi problemi, nel senso che dopo
      sei mesi la luce emessa quasi si azzerava....

      Avranno risolto o si aspettano che io cambi la
      tele ogni 6 mesi?E' proprio questo il loro desiderio!
  • Anonimo scrive:
    Ho visto un OLED a Smau
    Ho visto un diplay OLED portatile a Smau. Devo dire che è INCREDIBILE. I colori sono totalmente perfetti, come fosse una foto di carta. Voglio questa roba sul mio televisore... invece di quelle schifezze sbiadite di LCD o Plasma. Quanto ci vorrà?
    • Anonimo scrive:
      Re: Ho visto un OLED a Smau
      ....l'importante è ricordarsi sempre la differenza tra TV e realtà.chiedo venia, ma aumentare la definizione e la qualità dei display non mi sembra la cosa più urgente in questa epoca. (anonimo)
    • Anonimo scrive:
      Re: Ho visto un OLED a Smau
      IMHO quando avranno ammortizzato le spese sostenute per fabbricare i led e i plasma... tecnologie che si sapeva da almeno 3 anni essere destinate a un rapido surclasso da parte degli oled.Anzi, quando molti lcd e plasma attuali saranno diventati inguardabili per i noti difetti intrinseci/che sviluppano nel tempo (diciamo entro 5 anni), ecco pronti gli oled, inizialmente carissimi poi nel giro di un paio d'anni accessibili in tante piccole comode rate col 20% di interesse, per farti ricomprare nuovamente la TV...venghino siori venghino!PS: io ho ancora un sony 32" fd trinitron crt e non mi lamento (beh, via, solo l'ingombro è fastidioso), imho per gli oled c'è tempo...
      • Anonimo scrive:
        Re: Ho visto un OLED a Smau
        - Scritto da: Anonimo
        IMHO quando avranno ammortizzato le spese
        sostenute per fabbricare i led e i plasma...
        tecnologie che si sapeva da almeno 3 anni essere
        destinate a un rapido surclasso da parte degli
        oled.
        Anzi, quando molti lcd e plasma attuali saranno
        diventati inguardabili per i noti difetti
        intrinseci/che sviluppano nel tempo (diciamo
        entro 5 anni), ecco pronti gli oled, inizialmente
        carissimi poi nel giro di un paio d'anni
        accessibili in tante piccole comode rate col 20%
        di interesse, per farti ricomprare nuovamente la
        TV...
        venghino siori venghino!

        PS: io ho ancora un sony 32" fd trinitron crt e
        non mi lamento (beh, via, solo l'ingombro è
        fastidioso), imho per gli oled c'è tempo...quali difetti?io non ne sapevo nulla?ho un lcd da 1anno
      • Anonimo scrive:
        Re: Ho visto un OLED a Smau
        Anche io voglio saltare i passaggi intermedi ! ... Ho recuperato dalla spazzatura un vecchio monitor 21", con il trasformatore di riga malfunzionante. Che dite, conviene farlo rimettere a posto ?Ciao,Piwi
    • Anonimo scrive:
      [OT] Re: Ho visto un OLED a Smau
      - Scritto da: Anonimo

      Voglio questa roba sul mio televisore... invece
      di quelle schifezze sbiadite di LCD o Plasma.
      Quanto ci vorrà?Io vorrei qualcosa di decente da vedere sul mio televisore, non me ne frega niente di vederla alla risoluzione di 10000x10000 se poi devo vedere reality e Maria de Filippi.... :(
Chiudi i commenti