Internet Explorer e le patch extra di primavera

Microsoft ha pubblicato un bollettino straordinario che corregge 10 serie vulnerabilità di IE. Tra le quali una già pubblica e sfruttata in diversi attacchi. Ancora sotto indagine la debolezza di IE8 mostrata al Pwn2Own

Roma – Nella serata di ieri Microsoft ha pubblicato un bollettino di sicurezza straordinario, l’ MS10-018 , che contiene un aggiornamento cumulativo per Internet Explorer. L’update risolve in tutto 10 vulnerabilità “critiche”, una delle quali – identificata come CVE-2010-0806 – è stata oggetto di un recente advisory ed è attivamente sfruttata dai cracker .

È stato proprio il crescente numero di attacchi che fanno leva sulla falla CVE-2010-0806 a spingere BigM a pubblicare un bollettino fuori del suo tradizionale ciclo mensile dei rilasci. Con l’occasione la mamma di Windows ha corretto anche altre serie vulnerabilità di IE 5.01/6/7/8, la maggior parte delle quali (8 su 10) sono relative all’esecuzione di codice a distanza. Di queste, tuttavia, sono la CVE-2010-0806 era già pubblica.

“Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota dovuta al modo in cui Internet Explorer accede a un oggetto non inizializzato correttamente o eliminato” si legge nel bollettino in riferimento al bug CVE-2010-0806. “Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l’esecuzione di codice in modalità remota”. Nel caso in cui l’utente sia loggato nel sistema con diritti di amministrazione, l’aggressore può ottenere il pieno controllo del sistema remoto. Va ricordato come questa falla non interessi Windows 7, Windows Server 2008 R2 o Internet Explorer 8.

Tutte le debolezze contemplate dal bollettino MS10-018 possono essere potenzialmente sfruttate da un aggressore realizzando una pagina HTML maligna e inducendo l’utente ad aprirla. Vale la pena notare come, delle 10 vulnerabilità appena corrette da Microsoft, 8 interessino IE6, 7 IE7 e soltanto 3 IE8: da ciò si comprende bene perché sia BigM che gli esperti di sicurezza raccomandino agli utenti che ancora utilizzano una vecchia versione di IE a migrare quanto prima alla più moderna e robusta versione.

Come spiega in questo post Feliciano Intini, responsabile sicurezza di Microsoft Italia, l’aggiornamento migliora anche la protezione da certi attacchi di tipo cross-site scripting (XSS), e in particolare l’ X-XSS-Protection HTTP header . “Una nuova sintassi mode=block indica al filtro XSS Filter di disabilitare completamente il contenuto della pagina web nel caso si rilevi un attacco XSS di tipo reflected . Ad esempio: X-XSS-Protection: 1; mode=block”.

A chi nelle scorse settimane avesse applicato la soluzione Fix-it rilasciata da Microsoft per la vulnerabilità CVE-2010-0806, Intini ricorda di rimuovere questo workaround ( qui le istruzioni) prima di procedere all’installazione di questo aggiornamento. Come usuale, le patch contenute nell’ultimo bollettino di Microsoft possono essere installate manualmente, seguendo i link forniti nel bollettino stesso, oppure scaricate attraverso Windows Update (non appena disponibili).

Microsoft ha precisato che questo bollettino non corregge la falla utilizzata nel recente contest Pwn2Own per bucare IE8 e Windows 7. “Al momento stiamo ancora investigando sul problema e non abbiamo un aggiornamento disponibile” si legge in questo post del Microsoft Security Response Center. “In accordo con le regole della competizione, le vulnerabilità utilizzate (nel Pwn2Own, NdR) sono divulgate responsabilmente, in questo modo i rispettivi vendor possono creare gli aggiornamenti per proteggere i loro clienti prima che le vulnerabilità possano essere utilizzate dai criminali”.

Per altro lo scorso venerdì, sul Windows Security Blog , Microsoft aveva difeso IE8 sostenendo che l’attacco esibito al Pwn2Own era molto sofisticato, e che in ogni caso i meccanismi di protezione inclusi nelle più recenti versioni di IE e di Windows “non sono progettati per impedire qualsiasi attacco per sempre, ma per rendere decisamente più difficile sfruttare una vulnerabilità”.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ephestione scrive:
    Finora nulla di sorprendente...
    Così come 40 anni fa ci si poteva anche stare ad uscir da casa e lasciare la porta aperta, o al massimo chiusa per non far entrare vento/pioggia/polvere, ma senza chiuderla a chiave, mentre adesso fare lo stesso sarebbe follia pura, allo stesso modo qualche anno fa ci si poteva sentire "tranquilli" ad accedere ai propri dati personali da un pc di un netcafé, ma oggi controllare la posta elettronica, o inserire il login di qualunque servizio, sia il forum di punto informatico o il pannello di controllo del proprio servizio di hosting (per non parlare del sito di home banking), sarebbe molto sciocco. Che poi ci sia ANCHE scotland yard che controlla è ininfluente, è come dire "non ti gettare da quel ponte perché sul fondo ci sono dei cocci di vetro".Come al solito poi, ce lo vedo il terrorista che usa un netcafé per mandare mail in chiaro all'indirizzo del suo contatto segreto, comunicando l'obiettivo del prossimo attentato...
  • El Castigador scrive:
    XXXXXgrafia?
    "Tutti i clienti accettino di non accedere o scaricare alcun contenuto inappropriato durante la navigazione. Né trasmettere o archiviare documenti come email e allegati di natura XXXXXgrafica , violenta o estremista"La XXXXXgrafia, se non coinvolge minori , è legale.Come si può minacciare di chiamare in causa la polizia per impedirmi di procurarmi con un computer non mio, il cui utilizzo io pago personalmente, del materiale che, se me lo procuro col computer di casa mia, è perfettamente legale?
    • Anonimo scrive:
      Re: XXXXXgrafia?
      boh e chi lo sa?mi sa che il prossimo passo per il governo britannico sarà quello di vietare anche la normale XXXXXgrafia, d'altronde con quella violenta e con i feticismi l'hanno già fatto.
      • Iii scrive:
        Re: XXXXXgrafia?
        Non possono: le aziende che producono occhiali si opporrebbero, visto che la XXXXXgrafia procura loro molti clienti (si sa che si diventa ciechi:)
  • Funz scrive:
    Operazione simpatia: missione guardoni
    Continua con grande sucXXXXX l'Operazione Simpatia delle majors, tesa ad alienarsi pardon assicurarsi i cuori e le menti dei loro clienti paganti. Questa volta contro i malvagi pedoterroXXXXXsatanisti!Prossima missione: i gestori dei cafè dovranno passare gattoni sotto i tavoli e annusare le patte dei clienti, non sia mai che compiano atti impuri durante la navigazione...
  • Anonimo Svitato scrive:
    Tanto...
    Non so come funziona il controllo dei documenti in UK, ma non credo che tutti i gestori controllino al millimetro le tracce di un possibile documento falso - L'unica volta sono stato in un luogo di acXXXXX pubblico in UK, anzi, non me li hanno nemmeno chiesti, i documenti.Cosa cambia controllare l'hard disk e chiamare la polizia quando il tizio ha dato documenti falsi e se l'è già svignata?
    • Valeren scrive:
      Re: Tanto...
      Esattamente come per le altre disposizioni, non serve a nulla se non a dar fastidio a chi fa utilizzi leciti.Poi mi innervosisce l'idea che io sia all'estero, lontano ma solo per alcuni giorni / settimane quindi senza internet.Mi collego da un internet cafe e la mia ragazza mi manda una foto seminuda per provocarmi.Rido, cancello la mail ma dopo passa il guardone del negozio per sincerarsi che non abbia scaricato i piani dell'ultimo attentato e trova la foto.Che ovviamente non girerà alla polizia ma nessuno gli vieta di rimetterla in rete.Ovvio: in primis non avrebbe dovuto mandarmi la foto, ma credo che casi come quello ipotizzato siano tutto fuorchè remoti.
      • MeX scrive:
        Re: Tanto...
        e chi ti dice che l'amministratore di un cyber café non lo faccia giá? come il tecnico del negozietto sotto casa che formatta i PC pieni di Wirus?
        • Eretico scrive:
          Re: Tanto...
          Vero, c'è da dire però che ora hanno l'approvazione delle forze dell'ordine. Mentre prima, magari, alcuni lasciavano perdere per paura di andare incontro a denunce.
          • Eretico scrive:
            Re: Tanto...
            Chiaro...Mi piacerebbe sapere poi come faranno a capire se del materiale, in uno dei tanti dialetti arabi (o cinese, indiano, malese ecc), sia da imputarsi a qualche gruppo terroristico o peggio se lo stralcio del documento/comunicazione/pagina nella cache è criptato. E se impostano la navigazione in modalità pornmode ?Mah !
          • pippO scrive:
            Re: Tanto...

            E se impostano la navigazione in modalità pornmode
            ?
            Quello viene dedotto dalla webcam SOTTO la scrivania... :$
    • sylvaticus scrive:
      Re: Tanto...
      ah-ah-ah... perche' in Inghilterra i documenti di identita' non ci sono (si, lo so.. sembra incredibile ma credimi che e' cosi'...)
Chiudi i commenti