IExplorer, tornano le JPEG al veleno

Le immagini JPEG nuovamente un rischio per gli utenti del browser Microsoft, vulnerabili ad un problema che potrebbe esporli a crash improvvisi del browser o a codici malevoli. Segnalato anche un trojan che sfrutta un recente bug di IE


Roma – L’afa estiva rivendica ormai le energie di tutti, ma a quanto pare l’attività dei cacciatori di bug non è affatto rallentata. In questi giorni, infatti, sono stati scoperti nuovi buchi di sicurezza in Internet Explorer e sono saltati fuori un cavallo di Troia e un exploit capaci di sfruttare due recentissime vulnerabilità del browser di Microsoft.

Le nuove falle di IE sono state scoperte dal ricercatore di sicurezza Michal Zalewski e riguardano il codice che in IE gestisce le immagini JPEG. In questo advisory , pubblicato su SecurityFocus, Zalewski spiega che tutte le vulnerabilità possono essere sfruttate per mandare in crash le più recenti versioni del browser di Windows, e almeno una di queste può anche servire per eseguire del codice da remoto: esiste pertanto il rischio che un aggressore la utilizzi per compromettere un computer remoto e prenderne il controllo.

Com’era già accaduto lo scorso anno con una falla simile , gli utenti di IE devono porre particolare attenzione alle immagini “.jpg” provenienti da fonti sconosciute: alcune di queste potrebbero infatti essere “avvelenate”, compromettendo la sicurezza del computer o generando un denial of service (oltre al crash di IE potrebbero verificarsi problemi di memoria o un uso spropositato della CPU).

L’esperto di sicurezza ha detto di aver rivelato l’esistenza delle debolezze senza contattare Microsoft: a suo dire, infatti, “discutere i problemi di sicurezza con Microsoft è una procedura lunga e inutile che carica sulle spalle dei ricercatori un onere e un impegno troppo grandi”. Zalewski ha anche pubblicato alcuni file JPEG d’esempio che innescano le falle da lui scoperte causando l’improvvisa chiusura di IE: per il momento l’esperto ha tuttavia scelto di non pubblicare il codice dell’exploit.

Microsoft non ha mancato di “bacchettare” Zalewski per aver non aver divulgato i dettagli delle vulnerabilità “in modo responsabile”, e ha dichiarato di stare investigando sui problemi di sicurezza.

Negli scorsi giorni Symantec ha invece segnalato la presenza su Internet di un trojan chiamato Jevproxy che, una volta insediatosi su di un sistema, tenta di sfruttare una recente vulnerabilità nel componente javaprxy.dll di IE per scaricare e installare file dal Web: sebbene Microsoft abbia già distribuito un piccolo fix che disattiva tale componente, gli esperti di sicurezza fanno notare che al momento non c’è ancora alcuna patch che risolva il problema alla radice. Per fortuna, tuttavia, il cavallo di Troia Jevproxy è mal scritto e non riesce nei suoi intenti: Symantec gli ha infatti assegnato il minimo livello di pericolosità.

Infine, il FrSIRT ieri ha pubblicato il codice di un exploit che trae vantaggio da una vulnerabilità “critica” di Windows legata alla gestione dei profili ICC (International Color Consortium). Il buco è stato chiuso dal big di Redmond poco più di una settimana fa.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Che idiozia...
    Se uno sta cadendo non è certo la vibrazione alla caviglia che lo salva."Accidenti, sta vibrando la caviglia... non mi ero neanche accorto di essere inciampato!"
    • Anonimo scrive:
      Re: Che idiozia...
      Pensa se glielo montassero nello scroto. :D:D
    • Alessandrox scrive:
      Re: Che idiozia...
      - Scritto da: Anonimo
      Se uno sta cadendo non è certo la vibrazione alla
      caviglia che lo salva.
      "Accidenti, sta vibrando la caviglia... non mi
      ero neanche accorto di essere inciampato!"Mah... evidentemente dietro ci sara' stata della sperimentazione no?
      • Anonimo scrive:
        Re: Che idiozia...
        - Scritto da: Alessandrox

        - Scritto da: Anonimo

        Se uno sta cadendo non è certo la vibrazione
        alla

        caviglia che lo salva.


        "Accidenti, sta vibrando la caviglia... non mi

        ero neanche accorto di essere inciampato!"

        Mah... evidentemente dietro ci sara' stata della
        sperimentazione no?noo che sperimentazione ? lui sa gia tutto, fa parte del gruppo che ha creato il tutto :)i soliti GENI del forum di punto informatico :)
        • Anonimo scrive:
          Re: Che idiozia...
          questi sono quelli che poi vanno da amici e parenti e se qualcuno ha un osso rotto loro dicono che hanno letto di sta notizia per fare i fighi :D
  • Anonimo scrive:
    5 --
    La sonda anale con interfaccia grafica della tetrades v 6.0!!!
  • Anonimo scrive:
    risparmi per il settore sanitario?
    Si perche' dotare ogni aziano di (doppia) cavigliera computerizzata invece e' gratis.Ma vala' va a lavura' testun.
    • Anonimo scrive:
      Re: risparmi per il settore sanitario?
      Beh, probabilmente costa molto meno un apparecchio del genere rispetto alle cure necessarie in seguito a cadute (che non riguardano solo il femore, ma anche la testa e contusioni varie).
    • Anonimo scrive:
      Re: risparmi per il settore sanitario?
      E chi ha detto che si vogliano dotare TUTTI gli anziani di questo tipo di apparecchio?Il target è rappresentato da anziani con problemi neuro-motori, non è mica che tutti gli anziani abbiano problemi di questo tipo.Di certo se un apparecchio del genere può risparmiare qualche caduta, i vantaggi sono evidenti.Te credi che un intervento per installare una protesi del femore non costi nulla?
      • Anonimo scrive:
        Re: risparmi per il settore sanitario?

        Queste vibrazioni forniscono un forte feedback
        sensoriale in grado di supplire alle ridotte capacità
        motorie di molte persone anziane.Forse è più corretto dire che supplisce alle ridotte capacità sensoriali- Scritto da: Matthew Reed
        E chi ha detto che si vogliano dotare TUTTI gli
        anziani di questo tipo di apparecchio?
        Il target è rappresentato da anziani con problemi
        neuro-motori, non è mica che tutti gli anziani
        abbiano problemi di questo tipo.Credo anch'io che se ne gioveranno in pochi: gran parte delle cadute sono perchè inciampano in un tappeto o altro [e dubito che una volta inviampati la vibrazione riesca a dare chissà che stimolo in più ], o perchè hanno avuto un calo di pressione [tipicamente quando si alzano troppo in fretta la notte per andare in bagno].Comunque, anche se servirà a pochi (ad esempio diabetici con neuropatia, ma anche esiti di ictus), ben venga.
        Te credi che un intervento per installare una
        protesi del femore non costi nulla?Solo su un forum di informatica si può parlare di "installazione" di una protesi, anzichè di "impianto" :-)(scherzo, eh!)
        • Anonimo scrive:
          Re: risparmi per il settore sanitario?
          Ehm sì hai ragione :$==================================Modificato dall'autore il 22/07/2005 21.31.28
Chiudi i commenti