Internet Explorer, megabuco senza precedenti

E' allarme negli ambienti di sicurezza per quella che, secondo gli esperti, potrebbe trattarsi della più grave falla mai trovata in IE. Microsoft non ha ancora rilasciato la patch



NOTA del 14.12.01: Microsoft ha appena rilasciato la patch e altri bug fix. Tutte le info si trovano qui .

Web – Dopo i recenti guai con i cookie, Internet Explorer deve ora affrontare un vulnerabilità che, secondo alcuni esperti, potrebbe rappresentare la più grave falla di sicurezza mai scoperta in IE. Ed al momento in cui scriviamo, Microsoft non ha ancora rilasciato una patch al pubblico.

Oy Online Solutions (OOS), la società di sicurezza che ha trovato la falla e ne ha reso pubblica l’esistenza, spiega che la vulnerabilità potrebbe consentire ad un assalitore di indurre gli utenti a scaricare ed eseguire programmi maliziosi contenuti all’interno di pagine Web create ad hoc.

Per dimostrare la gravità del problema, OOS ha spiegato come, sfruttando la falla, un cracker potrebbe essere in grado di diffondere, “con relativa facilità e senza essere notato”, virus, tool DDoS, backdoor o programmi che formattino l’hard disk.

OOS sostiene che la vulnerabilità, che affligge tutte le versioni di IE comprese fra la 5 e la 6, può consentire ad un sito Web aggressivo di mascherare, nel dialogo di download di Internet Explorer, l’estensione di un file: in questo modo è sarebbe possibile far sì che un programma eseguibile appaia come un file di qualunque altro tipo (testo, immagine, audio, ecc.).

Il grosso rischio, ha affermato OOS, è che se l’utente sceglie di aprire il file dalla sua posizione corrente, l’eseguibile verrà lanciato immediatamente, aggirando così le impostazioni di sicurezza del browser (che in genere, prima di lanciare un file eseguibile, chiede conferma all’utente).

Secondo OOS, l’utente non ha modo di verificare se il file che si sta aprendo è davvero un programma “.exe” od un file di qualsiasi altro tipo, tantopiù – sostengono gli esperti di sicurezza – che una volta eseguito, il programma potrà incaricarsi, sviando così ogni sospetto, di lanciare l’applicativo associato all’estensione del file visibile all’utente: il notepad per i “.txt”, il media player per i “.wav”, ecc.

OOS spiega che la falla risiede nel modo in cui IE processa certi tipi di URL e di header HTTP e che la sua più grande pericolosità sta nel fatto che per sfruttarla non occorrono script: sarebbero infatti sufficienti soltanto alcune linee di codice HTML.

Fra le aggravanti al problema c’è il fatto che la vulnerabilità potrebbe affliggere anche tutti i software che si appoggiano su IE per visualizzare documenti Web, fra cui Outlook, Outlook Express e, se attivata l’opzione per l’utilizzo di IE, anche Eudora.

La patch è attualmente ancora in fase di beta testing e, secondo OOS, dovrebbe essere rilasciata da Microsoft a breve. Nel frattempo gli esperti consigliano agli utenti di disabilitare temporaneamente la funzione di download dei file dal pannello raggiungibile da Strumenti / Opzioni Internet / Protezione / Personalizza livello . Un’operazione da svolgere subito senza indugi.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    La prima volta che Bill Gate$ fu menzionato...
    Provate a cercarlo... fu a proposito di una incompatibilità tra il DOS 2.0 e il DOS 1.11..., citando BG che in un'intervista diceva che invece erano intermanet compatibili... La storia si ripete... ;)))-E
    • Anonimo scrive:
      Re: La prima volta che Bill Gate$ fu menzionato...
      Dimenticavo il link...http://groups.google.com/groups?selm=bnews.cdi.168Ciao,-E
  • Anonimo scrive:
    e il diritto all'oblio?
    Il diritto all'oblio di ciò che scrissi nel '97 e su cui forse nel frattempo ho cambiato parere chi me lo garantisce?un'enorme banca dati: pazzesco...
  • Anonimo scrive:
    Aaarggghhh!!!!
    Non è possibile! 24 ore che l'archivio è in piedi, e già i troll stanno postando reply stupidi a messaggi del'84!Che possano morire di cancro al browser!Scusate lo sfogo, Valkadesh
  • Anonimo scrive:
    Idem emotion
    Eh si questa notizia mi colpisce al cuore.Eravamo nella metà degli anni '80, io un bimbetto 15nne. Il computer me lo sognavo di notte, a mio padre facevo venire gli incubi a forza di stressarlo per prendermene uno, alla fine c sono riuscito. Mi accontentavo di un commodore 64, e...ma si anke uno spectrum andava bene. Ho un padre megalomane, e quando si è deciso mi ha preso il pc IBM 8088. Sinceramente mi venivano i rimorsi di coscienza per quanti soldi era costato. Comunque giù a studiare il manuale del DOS, quello del BASIC, a conoscere dalle riviste l'epopea di Steve Jobs, Bill Gates e company. Devo dire ke nel periodo dell'università il mondo dei computer l'ho snobbato, la prima volta ke ho sentito parlare di INTERNET quasi vomitavo. Da qualke anno la vita mi ha riportato con le mani sulla tastiera, con gli okki sul www e devo dire ke i miei trascorsi da pioniere mi sono tornati utili. Lo so, d tutto ciò al 99,999...% di ki legge potrebbe fregare d meno, ma andando a leggere certi passaggi dell'arkivio 'google' ho risvegliato molti ricordi e mi sono emozionato.
    • Anonimo scrive:
      Re: Idem emotion
      - Scritto da: Pioneer
      meno, ma andando a leggere certi passaggi
      dell'arkivio 'google' ho risvegliato molti
      ricordi e mi sono emozionato.OK, non lo metto in dubbio. Ma nel frattempo la banda si è allargata, e non è più necessario usare k o lettere singole per risparmiare spazio.Visto il macello che fanno alla leggibilità.
  • Anonimo scrive:
    Che emozione...
    Ho clikkato sul link che mi ha aperto i vecchi post di USENET, sono letteralmente emozionato, mi sembra di tornare indietro con gli anni...:-)
  • Anonimo scrive:
    Ode a Google
    Da tempo non ho piu' bisogno di usare nessun altro motore di ricerca.Grandioso motore; e poi e' sempre gentilissimo verso i miei siti: sono quasi sempre ai primi posti :)
  • Anonimo scrive:
    Google, e se finisse?
    Io sarei disposto a fare un abbonamento annuale di 10? per visitare google; ma lo avere visto il motore di ricerca immagini?? Da paura!Non ne sono sicuro, ma credo che google abbia un alto costo di gestione e un basso introito.Mi dispiacerebbe se google finisse.Io credo che se si abbonassero un milione di persone, google potrebbe funzionare e migliorare.A patto di rimanere in cifre ragionevoli (credo che il limite della ragione resti al max 1$ al mese), altrimenti rischia di fare 1000 abbonati a 100$ l'anno invece che 1.000.0000 a 10$.Ciao
    • Anonimo scrive:
      Re: Google, e se finisse?
      Anche io pagherei... sarebbero soldi ben spesi perche google gia' adesso e' un esempio di cosa succede se si investe in funzionalita' e non in effetti speciali!!!- Scritto da: Daniele
      Io sarei disposto a fare un abbonamento
      annuale di 10? per visitare google; ma lo
      avere visto il motore di ricerca immagini??
      Da paura!
      Non ne sono sicuro, ma credo che google
      abbia un alto costo di gestione e un basso
      introito.
      Mi dispiacerebbe se google finisse.
      Io credo che se si abbonassero un milione di
      persone, google potrebbe funzionare e
      migliorare.
      A patto di rimanere in cifre ragionevoli
      (credo che il limite della ragione resti al
      max 1$ al mese), altrimenti rischia di fare
      1000 abbonati a 100$ l'anno invece che
      1.000.0000 a 10$.

      Ciao
    • Anonimo scrive:
      Re: Google, e se finisse?
      - Scritto da: Daniele
      Io sarei disposto a fare un abbonamento
      annuale di 10? per visitare google; ma lo
      avere visto il motore di ricerca immagini??Il motore immagini di google non mi sembra eccezionale.Ma quello web e quello NG si!Io sono un teorico del gratis...... ma Google è uno dei pochi siti per cui spenderei 10? l'anno senza batter ciglio.
      Mi dispiacerebbe se google finisse.Sarebbe una perdita per la rete. Ma forse emergerebbe qualcun altro.
      • Anonimo scrive:
        Re: Google, e se finisse?
        Mi associo, se per restare funzionale come lo e' ora ci fosse da pagare, io pagherei.E' di una utilita' immensa.
    • Anonimo scrive:
      Re: Google, e se finisse?
      - Scritto da: Daniele
      Io sarei disposto a fare un abbonamento
      annuale di 10? per visitare google; ma lo
      avere visto il motore di ricerca immagini??
      Da paura!
      Non ne sono sicuro, ma credo che google
      abbia un alto costo di gestione e un basso
      introito.google vive vendendo la loro tecnologia di ricerca ad altri motori di ricerca. Tutto e' sviluppato su linux, alla faccia di chi dice che linux e' un OS di merda comunista e bla e bla.
      Mi dispiacerebbe se google finisse.
      Io credo che se si abbonassero un milione di
      persone, google potrebbe funzionare e
      migliorare.
      A patto di rimanere in cifre ragionevoli
      (credo che il limite della ragione resti al
      max 1$ al mese), altrimenti rischia di fare
      1000 abbonati a 100$ l'anno invece che
      1.000.0000 a 10$.ok... vediamo di approfondire:1) come paghi? hai mai provato a fare un acquisto in rete ? carta di credito? non ce l'hanno tutti. Cosi' i servizi internet sarebbero riservati a chi ha la CC e internet diventerebbe solo un accesso ai servizi mastercard o visa. ottimo direi.poi te la clonano, o perdi le chiavi di accesso (regolarmente comprate) perche' il virus che passa fa piazza pulita dell'hd e ti tocca comperare un'altra chiave di autenticazione.2) ora ammetti di dover pagare anche solo 1 euro all'anno per tutti i servizi che giornalmente usa una persona che seriamente utilizza internet. Quanto spenderesti ?3) l'altro ieri internet era gratis perche' era una biblioteca di informazioni liberamente dsponibile e consultabile per tutti. Una specie di grande raccolta della libera conoscenza umana. Ieri internet era gratis perche' sono arrivati i pescecani che volevano fare soldi a tutti i costi con il nuovo gingillo. Poi si sono accorti che la pubblicita' non serve a un tubo e dopo aver cercato di infilare banner a tutta pagina lasciando una colonna di un centimetro per le info, hanno optato per altre soluzioni in stile... ma non funzionava.Cosi' oggi qualcuno inizia a battere cassa.Solita politica: distribuisci qualcosa gratuitamente, rendilo indispensabile, poi passa ad incassare. La unisys con le sue giffine ringrazia. la soluzione ? per il punto primo, consegna il tuo borsellino nelle mani sicure della microsoft, che provvedera' a gestire i tuoi acquisti.per il punto secondo, dai tutti i servizi a microsoft, cosi' paghi una sola volta tutti i servizi di cui hai bisognoper il punto terzo ? paga e taci. tanto la roba gratuita che c'e' in giro non e' interoperativa. altra soluzione ? certo... rendersi conto che internet e' e deve restare quella che era l'altro ieri, ma che i soliti pescecani hanno voluto trasformarla in una nuova televisione via telefono, dove ricevi, interagisci (non troppo pero'... specie se interagisci con il servizio clienti), e soprattutto paghi. Purtroppo la maggior parte della gente che popola internet queste cose non le sa... se le sa se ne frega, se non se ne frega le accetta come una cosa inevitabile.date qualcosa in mano ai commerciali e te la rovinano: pensate alle radio... pensate alla musica. Pensate alle parole "ti amo" e a quanto valgono al giorno d'oggi.
      • Anonimo scrive:
        Re: Google... shareware-like
        hai ragione. ci sarebbero enormi problemi x mettere in pratica tutto questo. facciamo che funzioni come un prg shareware: chi pensa che sia utile versa una cifra (10$, mi sembra la più gettonata), chi non gliene frega niente non lo fa.. lo so che molti non pagherebbero "tanto lo fa qcn'altro", ma è lo ss con i prg shareware: molti scaricano e usano senza pagare.ciaomax
    • Anonimo scrive:
      Re: Google, e se finisse?
      Sinceramente tempo fa (qualche mese fa, credo) avevo letto non so dove che google stava tirando gli ultimi. Per un pò ho aspettato la musica da requiem, ma adesso mi sono rassegnato. Noto che google è in forma smagliante: non sempre...ma a volte anche la qualità paga.
  • Anonimo scrive:
    Usenet my first love
    Il primo amore nonsi scorda mai.. ^__^Usenet e' il cuore pulsante della rete, altro che le lobbies finanziarie. La rete e' stata inquinata dagli interessi finanziari!Niente e' piu' bello di un ng, o della sua avoluzione (gli attuali forum)SalutiK
    • Anonimo scrive:
      Re: Usenet my first love
      - Scritto da: Konrad
      Niente e' piu' bello di un ng, o della sua
      avoluzione (gli attuali forum)Sinceramente, un NG mi piace + di un forum.E' una variante, non un'evoluzione.BTW... parrà strano, ma il mio primo amore sulla rete è stato il Web
  • Anonimo scrive:
    usenet senza internet: qualcuno mi spiega?
    salve.essendo un newbie, ovviamente non capisco.tecnicamente (ma non troppo tecnicamente : devo capire) come funzionava usenet senza internet?:-|no compriendo
    • Anonimo scrive:
      Re: usenet senza internet: qualcuno mi spiega?
      - Scritto da: uno_che_non_lo_sa
      salve.
      essendo un newbie, ovviamente non capisco.

      tecnicamente (ma non troppo tecnicamente :
      devo capire) come funzionava usenet senza
      internet?

      :-|

      no compriendoIl piu' semplicemente possibile: internet e' un insieme di reti, e una di queste e' usenet. secondo me tu pensi ad internet come quello che vedi quando navighi col browser, in realta' internet esisteva prima ancora che potessi vedere le pagine dei portali, o dei siti, come si presentano oggi.Spero di averti aiutato.ciaoK.
    • Anonimo scrive:
      Re: usenet senza internet: qualcuno mi spiega?
      - Scritto da: uno_che_non_lo_sa
      salve.
      essendo un newbie, ovviamente non capisco.

      tecnicamente (ma non troppo tecnicamente :
      devo capire) come funzionava usenet senza
      internet?In ceh senso "usenet senza internet"??internet esiste da 30 anni (+ o -)forse volevi dire senza il www.Ed in tal caso, beh ,non vedo il problema:usano 2 protocolli diversi (http e nntp), serverdiversi, client diversi....
    • Anonimo scrive:
      Re: usenet senza internet: qualcuno mi spiega?
      - Scritto da: uno_che_non_lo_sa
      salve.
      essendo un newbie, ovviamente non capisco.
      tecnicamente (ma non troppo tecnicamente :
      devo capire) come funzionava usenet senza
      internet?
      :-|
      no compriendoCiao, l'errore che ti confonde e' la falsa informazione che dice che Internet è nata nel 1993 (come dicono spesso alla tivvu'!) Internet ha molti piu' anni, ed Usenet esisteva quindi proprio perche' la rete gia' c'era.. appunto perche' Usenet e' un "net" e quindi sfruttava la rete esistente.La stessa rete che oggi molto piu' comunemente chiamiamo Internet e che comprende un po tutto (posta, www, messaging, ftp, usenet etc etc)ciao!
      • Anonimo scrive:
        Re: usenet senza internet: qualcuno mi spiega?
        - Scritto da: LUCASCHIAVONI

        La stessa rete che oggi molto piu'
        comunemente chiamiamo Internet e che
        comprende un po tutto (posta, www,
        messaging, ftp, usenet etc etc)
        Questa e' la sintesi che cercavo..!:)K.
    • Anonimo scrive:
      Re: usenet senza internet: qualcuno mi spiega?
      - Scritto da: uno_che_non_lo_sa
      salve.
      essendo un newbie, ovviamente non capisco.

      tecnicamente (ma non troppo tecnicamente :
      devo capire) come funzionava usenet senza
      internet?

      :-|

      no compriendo"Internet" nasce in realta' intorno agli anni 70 come ARPAnet. In principio i calcolatori (militari) non erano tutti connessi e molte cole (come la posta) funzionavano con strumenti quali lo uucp. Piano piano sempre piu' calcolatori si sono connessi, sono arrivate le universita e sono nati ulteriori protocolli (ftp per trasferire i file, smtp per inviare la posta, ...) tra qui l'nntp per le news di usenet.Nel 1993 nasce un altro protocollo chiamato http...
    • Anonimo scrive:
      Re: usenet senza internet: qualcuno mi spiega?
      se puo' esserti di aiuto....http://www.virgilio.it/canali/computer/mini_guida/com090100g.html
  • Anonimo scrive:
    Aggiungo.....
    Il primo, e unico, messaggio che riporta la parola "DRAGASACCOCE"http://groups.google.com/groups?q=dragasaccocce&hl=it&scoring=d&rnum=1&selm=slrn9k4bhd.tt.Pardo%40linux.tamarropoli
    • Anonimo scrive:
      Re: Aggiungo.....
      interessante questo:Pardo http://pardo.cjb.net http://pardo.tsx.org- Scritto da: l
      Il primo, e unico, messaggio che riporta la
      parola "DRAGASACCOCE"

      http://groups.google.com/groups?q=dragasaccoc
    • Anonimo scrive:
      Re: Aggiungo.....
      Patetico ed inutile intervento..
  • Anonimo scrive:
    Grazie Google
    ^__^
  • Anonimo scrive:
    Miticooooo!
    fantastico, stupendo, grandiosooo!speriamo che google non abbia gli colpi di testa di Soru e decida un giorno di volerci far pagare per leggere l'archvio storico di usenet! ;)
    • Anonimo scrive:
      Re: Miticooooo! I Love Ng!!!!
      Vado subito a vedere il mio primo post!!Forse era dell'85!
    • Anonimo scrive:
      Re: Miticooooo!
      Grazie Google.Di fronte ad una simile qualita' non mi dispiacerebbe sganciare qualche spicciolo.Che sia di esempio a tutti- Scritto da: EveryMan
      fantastico, stupendo, grandiosooo!
      speriamo che google non abbia gli colpi di
      testa di Soru e decida un giorno di volerci
      far pagare per leggere l'archvio storico di
      usenet! ;)
Chiudi i commenti