Microsoft corregge una decina di falle

Sul lato della sicurezza quello di Microsoft è un luglio piuttosto caldo, che vede la correzione di vulnerabilità relative a Windows, Office, IIS e MS.NET Framework

Redmond (USA) – Nella serata di ieri Microsoft ha pubblicato sei bollettini di sicurezza, tre dei quali classificati come critici, due come importanti e uno come moderato. Nel complesso le vulnerabilità corrette sono 11, e riguardano Office, Active Directory, MS.NET Framework, Microsoft Internet Information Services (IIS) e il firewall di Windows Vista.

I tre bollettini “critici” sono l’ MS07-036 , che descrive diverse falle in Excel 2000, 2002, 2003 e 2007 e nell’Office Compatibility Pack 2007; l’ MS07-039 , riguardante il servizio Windows Active Directory di Windows 2000 e 2003; e l’ MS07-040 , che interessa invece le versioni 1.x e 2.0 del MS.NET Framework. Tutte le vulnerabilità descritte in questi bollettini sono potenzialmente sfruttabili da un cracker per eseguire del codice da remoto.

I due bolletti “importanti” sono invece l’ MS07-037 , relativo a Office 2007, e l’ MS07-041 , riguardante IIS 5.1 per Windows XP. Anche in questi due casi il rischio è che un aggressore sfrutti le falle per eseguire del codice da remoto, ma un attacco di questo genere viene considerato da Microsoft più difficile o di minore impatto rispetto alle vulnerabilità precedenti.

L’ultimo bollettino , l’ MS07-038 , descrive infine una debolezza “moderata” del firewall integrato in Windows Vista che “potrebbe consentire a del traffico di rete non richiesto di accedere ad un’interfaccia di rete”. Un aggressore potrebbe approfittare del bug per “raccogliere informazioni sull’host vulnerabile”.

Una tradizionale tabella di sintesi dei bollettini Microsoft di luglio è stata pubblicata qui da Internet Storm Center.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • gaia75 scrive:
    Non ho capito..
    Basta avere IE installo o deve essere aperto contemporaneamente a Firefox per farlo diventare vulnerabile? Se è la seconda che ho detto, allora non sono io l'utonta ma è l'articolo!
    • lorenzodes scrive:
      Re: Non ho capito..
      - Scritto da: gaia75
      Basta avere IE installo o deve essere aperto
      contemporaneamente a Firefox per farlo diventare
      vulnerabile?

      Se è la seconda che ho detto, allora non sono io
      l'utonta ma è
      l'articolo!Occorre avere Internet Explorer aperto e Firefox 2.0.x installato (ma non in esecuzione) al momento in cui si clicca sull'URL malformato.
      • Albex scrive:
        Re: Non ho capito..
        Se vuoi provare apri questo link da IE con firefox installato:[url]firefoxurl://pirla/[/url]vedrai che firefox va in loop... e questo è solo un esempio INNOQUO...
        • lorenzodes scrive:
          Re: Non ho capito..
          - Scritto da: Albex
          Se vuoi provare apri questo link da IE con
          firefox
          installato:

          [url]firefoxurl://pirla/[/url]

          vedrai che firefox va in loop... e questo è solo
          un esempio
          INNOQUO...A me Firefox chiede conferma di lanciare un programma esterno. Poi se uno ha l'intelligenza di un bradipo e seleziona l'opzione che previene questo genere di warning... be', colpa sua.
    • sono io scrive:
      Re: Non ho capito..
      No, e' la prima. Precisiamo che non so come fai a non avere IE non installato su windows eche la falla colpisce solo gli utenti di quest'ultimo sistema.Per essere vulnerabile ti basta avere FF installato ma devi navigare su internet con IE!Credo che il problema non dovrebbe presentarsi se imposti FF come browser predefinito.Ma in tal caso devi astenerti dall'usare IE per navigare su siti di dubbia provenienza, e soprattutto non navigarci mai usando sul tuo sistema un account di amministratore.Meglio se segui il consiglio dell'articolo e cancelli il protocollo FirefoxURL://.Firefox continua comunque a restare un ottimo browser, non credo abbia molte colpe in quest'ultima falla.
  • Gianni l'ottimist a scrive:
    Win Vista
    Su vista il problema n0n si pone, l'UAC ti avverte che stai uscendo dalla modalità protetta.Poi se uno vuole propio farsi del male...
    • nuclearstre ngth scrive:
      Re: Win Vista
      - Scritto da: Gianni l'ottimist a
      Su vista il problema n0n si pone, l'UAC ti
      avverte che stai uscendo dalla modalità
      protetta.
      Poi se uno vuole propio farsi del male...tipo l'utonto che clicca su ok imprecando prchè vule vedere sta cavolo di foto della verginella dalla figa stretta?sono quelli i bersagli di tali attacchi
  • mak77 scrive:
    Per chi ha dubbi sulla sicurezza
    Il bug si verifica solo navigando con IE.quindi fintanto che navigate solo con firefox (al max usate ie per windowsupdate se proprio dovete) state in una botte di ferro...questo dovrebbe risolvere i dubbi di chi l'ha chiestocmq la 2.0.0.5 è già in preparazione da tempo penso uscirà a breve (sicuramente entro fine luglio)
    • Federico Razzoli scrive:
      Re: Per chi ha dubbi sulla sicurezza
      Se usi Epiphany, Seamonkey, K-Meleon o altri browser non cambia nulla, il bug è in Firefox.Dite che IE fa schifo e nessuno potrà darvi torto con una motivazione razionale. Ma non dite che Firefox è un buon browser. E' il peggior browser open source dopo Camino.Gecko va bene, ma tutte le sovrastrutture fatte dal gruppo Mozilla sono terribili. Qualunque browser basato su Gecko è incredibilmente meglio di quelli ufficiali. Questo è inspiegabile e va contro ogni logica. Si direbbe che Mozilla voglia sviluppare il miglior motore di rendering della storia ma che facciano di tutto purchè nessuno se ne accorga. Forse Microsoft li paga perchè i loro browser restino di nicchia.SOLUZIONEFormattate il vostro computer. Installate Ubuntu o una qualsiasi altra distribuzione basata su Gnome. Firefox è sicuramente installato col sistema, Debian si vergogna a farlo sapere in giro e quindi lo chiama IceWeasel, ma è la stessa cosa.DISINSTALLATELO IMMEDIATAMENTE, PRESTO!!!!Avete fatto in tempo a disinstallarlo prima che il vostro computer esploda? In caso negativo dovete comprare un altro computer e ricominciare daccapo.In caso positivo avviate il gestore pacchetti della vostra distribuzione e installate Epiphany.NOTA LEGALE:Se utilizzi queste istruzioni io non sono responsabile di quello che può succedere.MA SOPRATTUTTO, SE NON LE UTILIZZI IO SONO ANCORA MENO RESPONSABILE. Io ti ho detto qual è la soluzione all'imbecillità di Mozilla e Microsoft, se tu te ne sei fregato non è colpa mia.
  • Albex scrive:
    IE NON HA COLPE ! (questa volta)
    Non si puo imputare la colpa ad IE.è ovvio che se io registro un protocollo, per semempiose io registro minkiottp:// come protocollo chè legato a un app semplice semplice che fa partire un eseguibile passato da parametro. e io dal mio sito apro un popup che chiama minkiottp://www.miosito.org/incasina_hdd.exeexplorer che colpa ha ?ha riconosciuto un protocollo legato ad un app esterna, e ha CORRETTAMENTE reindirizzato la connessione a quell'app...esattamnete come fa telnet:// o ftp:// o ed2k:// ...il problema è nel protocollo FirefoxURI che dovrebbe CAPIRE da dove arriva la chiamata... e capire se fare girare tutto ad occhi chiusi o magari pensarci un secondo...
    • asadad scrive:
      Re: IE NON HA COLPE ! (questa volta)
      - Scritto da: Albex
      Non si puo imputare la colpa ad IE.
      è ovvio che se io registro un protocollo, per
      semempio
      se io registro minkiottp:// come protocollo chè
      legato a un app semplice semplice che fa partire
      un eseguibile passato da parametro. e io dal mio
      sito apro un popup che chiama
      minkiottp://www.miosito.org/incasina_hdd.exe
      explorer che colpa ha ?

      ha riconosciuto un protocollo legato ad un app
      esterna, e ha CORRETTAMENTE reindirizzato la
      connessione a
      quell'app...
      esattamnete come fa telnet:// o ftp:// o ed2k://
      ...

      il problema è nel protocollo FirefoxURI che
      dovrebbe CAPIRE da dove arriva la chiamata... e
      capire se fare girare tutto ad occhi chiusi o
      magari pensarci un
      secondo...
  • Edo78 scrive:
    falla critica ?
    Secondo me la falla critica è tenere windows installato ...
    • gohan scrive:
      Re: falla critica ?
      - Scritto da: Edo78
      Secondo me la falla critica è tenere windows
      installato
      ...questo è veramente un commento intelligente....(geek)
      • Edo78 scrive:
        Re: falla critica ?
        - Scritto da: gohan
        - Scritto da: Edo78

        Secondo me la falla critica è tenere windows

        installato

        ...
        questo è veramente un commento
        intelligente....(geek)Mi limito a constatare come stanno le cose, con linux non ho ne un antivirus ne un firewall e non ne ho bisogno sulla macchina dell'ufficio, per quella di casa che fa anche da server raggiungibile su internet ho preferito usare un firewall ma gli utenti windows devono usare un firewall su un desktop è ridicolo ...
        • Albex scrive:
          Re: falla critica ?
          SU linux non hai bisogno dell'antivirus perchè su linux non gira una ceppa, devi compilare ogni volta che installi un programma... ma che scherziamo ?addirittura ricompilare il kernel se cambi scheda video... è semplicemente un sistema operativo ASSURDO. fatto per SECCHIONI E SFIGATI che per fare una cosa da 5 minuti ce ne vogliono mettere 25 digitando comandi all'impazzata quando su Windows con 1 click ho fatto tutto...certo che se un virus x girare deve ricompilare il kernel... chissene frega di linux... infetto windows...
          • Awsws scrive:
            Re: falla critica ?
            Forse, ma è una mia opinione, la tua non capacità non ti permette di fare le cose velocemente sulle varie distribuzioni Linux......ora come ora anche una scimmia lo può utilizzare (vedi Ubuntu, OpenSuse etc..); poi non spariamo parole al vento sulla ricompilazione del Kernel......è una vita che non si ricompila il kernel, e personalmente ho cambiato tranquillamente varie tipologie di hardware.....A...., dimenticavo non gira una ceppa di che? Forse i giochi? Forse AutoCad? X il resto mi sembra che sia possibile fare di tutto.P.s.Personalmente apprezzo ambedue i sistemi operativi (Win & Lin) a seconda degli ambiti applicativi.
          • Albex scrive:
            Re: falla critica ?
            Mai provato a dover scrivere e modificare un documento *WORD* cioè in formato *DOC* non opencazzivari e doverlo condividere con gente che usa WORD e farlo con quella porcheriola di openoffice ?tanto per citare un esempio... e poi si.. i giochi nn vanno. ho un portatile con una X700 mica la utilizzerò solo x vedermi le belle finestrelle di Gnome....
          • nuclearstre ngth scrive:
            Re: falla critica ?
            - Scritto da: Albex
            Mai provato a dover scrivere e modificare un
            documento *WORD* cioè in formato *DOC* non
            opencazzivari e doverlo condividere con gente che
            usa WORD e farlo con quella porcheriola di
            openoffice
            ?

            tanto per citare un esempio... e poi si.. i
            giochi nn vanno. ho un portatile con una X700
            mica la utilizzerò solo x vedermi le belle
            finestrelle di
            Gnome....ma te office lo usi solo per i power point o cosa?io dal lavoro quando devo mandare via documenti lo faccio usandoil pdf, se devo farmeli modificare ero costretto ad usare word per il problema che dici tu ma fortunamtamente da office 2007 in poi il problema non si porrà più, leggerà perfettament i formati opensticazzi e viceversa.ah e poi grazie gente come te quando ho dovuto scrivere la tesina ho dovuto farlo in doc, sai qual'è ilprobmea?i file da + di 50 pagine, word si perde la formattazione, prova se riesci a scrivere 50 pagine di roba in word (la mia tesina era quasi 1000)poi prova in open office.. peccato che il mio prof. non voleva usare Open office proprio perchè la pensa come te, risultato?una cartella con ogni file max 10 pagine, il massimo della vita da gestire.per i videogame sei un imbecille se usi il portatile a meno che tu non abbia un alienware da mille mila dollari, prendi una console che è melgio per i giochi, tutti i giochi che ci sono per PC ci sono anche per conole ma non vale il contrario, non ti devi stare a sbattere a craccarti gli exe installadnoti così un sacco di virus (perchè mi sà che tu i giochi non lipaghi) a meno che tu non abbia mille mila euro da spendere in sk video + ram + sk madri bla bla bla.probabimente te windows vabenissimo perchè le tue esigenze rientrano in pieno in quelle supplite appunto dalla MS.esite gente pero' che ha esigenze diverse sai? c'è chi del proprio pc ci si deve fidare perchè affida al proprio computer il prorpio, appunto, lavoro.ah sappi che io uso maya, il desktop 3d di beryl & co. mi permette di gestire una quantità di finestre che normalment non sono gestibili, sai perchè? perchè quando beryl è stato sviluppato c'era gente come me che scriveva agli sviluppatori cosa ci serviva, non mi pare che la MS con Vista abbia chiesto ai suoi clienti paganti perchè volevamo exposè o un desktop 3d, mi pare che invece abbiano cercato di abbindolare gente come te per farvi dire wow di fronte ad una cosa inutile, invece succedeche non ha funzionato se a te le finestre belle non piacciono/servono no?
          • Edo78 scrive:
            Re: falla critica ?
            - Scritto da: Albex
            SU linux non hai bisogno dell'antivirus perchè su
            linux non gira una ceppa, devi compilare ogni
            volta che installi un programma... ma che
            scherziamo
            ?
            addirittura ricompilare il kernel se cambi scheda
            video... è semplicemente un sistema operativo
            ASSURDO. fatto per SECCHIONI E SFIGATI che per
            fare una cosa da 5 minuti ce ne vogliono mettere
            25 digitando comandi all'impazzata quando su
            Windows con 1 click ho fatto
            tutto...
            certo che se un virus x girare deve ricompilare
            il kernel... chissene frega di linux... infetto
            windows...Io nell'ultimo anno ho installato kubuntu sui pc dei miei fratelli, sul vecchio portatile di mia mamma (dove ancora girava win 98) sul portatile della morosa di mio fratello.Nessuno di loro è un secchione, nessuno di loro ha più preso un virus e quindi non sono nemmeno sfigati, nessuno di loro ha nemmeno la più pallida idea di cosa significhi compilare, non hanno nemmeno idea di cosa sia il kernel e non hanno nemmeno bisogno di configurarlo, tutti loro (diamine anche mia mamma) riesce in autonomia a installarsi i programmi che gli servono e ad usarli ...Non è che ti senti un po' sfigato tu con tutti i virus che devi evitare, sperando che non ti raggiungano prima dell'antivirus ?Non è che ti senti talmente decerebrato da dover definire secchioni quelli che usano linux, io ho solo la terza media ma uso linux senza il minimo problema.Invece di sparare fandonie per difendere quel colabrodo di windows informati meglio ...
          • Paolo scrive:
            Re: falla critica ?
            - Scritto da: Albex[cut]Da quello che hai scritto ho l'impressione che tu non sia minimamente informato sui fatti "tecnici" che hai voluto tirare in ballo.Io non te ne faccio una colpa, ma almeno fai a te stesso e agli altri una cortesia che prescinde dal sistema operativo che hai deciso di usare: la prossima volta che argomenti qualcosa con arroganza, come probabilmente sei abituato a fare, impara almeno a non parlare a sproposito. O corri il rischio di essere tu il primo tra gli SFIGATI.
  • filobus scrive:
    firefox portabile
    io la chiave di registro non ce l'ho..forse perche' uso la versione "portabile" di ff?:)
  • gigi scrive:
    NOTIZIA ERRATA: la falla è in Firefox!!!
    la falla è in Firefox non in Internet explorer:http://secunia.com/advisories/25984/
    • fulmine scrive:
      Re: NOTIZIA ERRATA: la falla è in Firefox!!!
      - Scritto da: gigi
      la falla è in Firefox non in Internet explorer:
      http://secunia.com/advisories/25984/Se cosi' fosse, dovrebbe essere possibile pure su Linux e Mac ;)La falla, di base, è di IE (http://larholm.com/2007/07/10/internet-explorer-0day-exploit/), FireFox fa da "tramite".
    • lorenzodes scrive:
      Re: NOTIZIA ERRATA: la falla è in Firefox!!!
      E' una falla in IE, anche se Firefox non è esente da biasimo. La falla sta nel fatto che IE lancia Firefox, attraverso l'API ShellExecute, con la stringa che costituisce argomento di FirefoxURL, senza alcuna validazione della medesima.La stringa/parametro alla base dell'exploit è un classico e sfrutta il buon vecchio ricorso agli apici/virgolette.Un po' come quei siti vulnerabili al SQL injection: la colpa non è certo del DB che fa quello per cui è stato programmato, ma dell'applicativo lato utente che non verifica l'input immesso.
      • P4_ scrive:
        Re: NOTIZIA ERRATA: la falla è in Firefox!!!
        - Scritto da: lorenzodes
        E' una falla in IE, anche se Firefox non è esente
        da biasimo. La falla sta nel fatto che IE lancia
        Firefox, attraverso l'API ShellExecute, con la
        stringa che costituisce argomento di FirefoxURL,
        senza alcuna validazione della
        medesima.ma quanto sei ignorante. Sai almeno perchè IE o qualunque altro browser lancia Firefox? Perchè firefox ha registrato il suo protocollo firefox:// ed la falla sta nel fatto che quel protocollo firefox:// essendo fallato permette poi di eseguire altri file o comandi cioè è il protocollo firefox:// di firefox che non fa un controllo corretto degli argomentiSaluti da P4
        • lorenzodes scrive:
          Re: NOTIZIA ERRATA: la falla è in Firefox!!!
          - Scritto da: P4_
          ma quanto sei ignorante. Sai almeno perchè IE oSei per caso quel P4 che è lo zimbello di mezza Usenet? Temo proprio di sì...
          qualunque altro browser lancia Firefox? Perchè
          firefox ha registrato il suo protocollo
          firefox:// ed la falla sta nel fatto che quel
          protocollo firefox:// essendo fallato permette
          poi di eseguire altri file o comandi cioè è il
          protocollo firefox:// di firefox che non fa un
          controllo corretto degli
          argomentiProvo a spiegartelo in maniera elementare: l'utente clicca sul link, explorer crea una stringa sulla base di un template tipo quello che segue: Explorer, in particolare, sostituisce %1 con l'argomento dell'url senza fare alcun escape di quest'ultimo, dando poi il risultato finale in pasto all'API ShellExecute.Se l'"achero" fa un uso mirato degli apici, è in grado di passare qualsiasi argomento di linea di comando a Firefox (ma lo stesso si può dire di qualsiasi altro programma lanciabile da Explorer attraverso un "URL protocol handler" registrato).Perché non è un bug di Firefox? Perché Firefox viene lanciato con una command line che, per quello che ne può sapere lui, è assolutamente legittima e regolare. Il controllo va fatto a monte, non a valle.La tecnica non è assolutamente nuova, è simile a quella usata per l'SQL injection. Anche in quei casi la colpa non è da attribuire al DB che veniva violato, che si limitava ad eseguire i comandi per cui era stato programmato, ma al sistema di gestione dell'input utente.Se non sei convinto, cerca "SQL injection" con google.
          Saluti da P4ROTFL.
          • DINO scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: lorenzodes
            Perché non è un bug di Firefox? Hai detto un mucchio di stupidaggini.La falla è in Firefox, NON in IE:http://secunia.com/advisories/25984/
          • lorenzodes scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: DINO
            - Scritto da: lorenzodes

            Perché non è un bug di Firefox?

            Hai detto un mucchio di stupidaggini.Veramente? Allora tu che ne sai più di me, sai spiegarmi come funziona l'exploit, visto che quanto da me scritto è inesatto? Bada bene, io ho descritto un meccanismo con tanto di esempio, mi aspetto da te altrettanto.
          • sala scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: lorenzodes
            Perché non è un bug di Firefox? a no??? http://secunia.com/advisories/25984/http://www.frsirt.com/english/advisories/2007/2473
          • sala scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: lorenzodes
            Provo a spiegartelo in maniera elementareQuale parte di "A vulnerability has been identified in Mozilla Firefox, which could be exploited by attackers to take complete control of an affected system. This issue is caused by a design error within the "FirefoxURL://" URI handler which is registered by the application during the installation process on Windows, which could be exploited by remote attackers to pass malicious arguments to "FirefoxURL://" and execute arbitrary commands with Chrome privileges by tricking a user into visiting a specially crafted web page using Internet Explorer." non ti è chiara?http://www.frsirt.com/english/advisories/2007/2473
          • lorenzodes scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: sala
            Quale parte di
            [...] non ti è chiara?
            http://www.frsirt.com/english/advisories/2007/2473Ommammamia.Per tua informazione la persona che ha scoperto l'exploit (Thor Larholm), che evidentemente non è l'ultimo idiota, la classifica come bug di Internet Explorer.
      • P4_ scrive:
        Re: NOTIZIA ERRATA: la falla è in Firefox!!!
        - Scritto da: lorenzodes
        E' una falla in IE, anche se Firefox non è esente
        da biasimo. La falla sta nel fatto che IE lancia
        Firefox, attraverso l'API ShellExecute, con la
        stringa che costituisce argomento di FirefoxURL,
        senza alcuna validazione della
        medesima.ma quanto sei ignorante. Sai almeno perchè IE o qualunque altro browser lancia Firefox? Perchè firefox ha registrato il suo protocollo firefox:// ed la falla non sta nel fatto che sia in grado di eseguire firefox.exe ma sta nel fatto che quel protocollo firefox:// essendo fallato permette poi di eseguire altri file o comandi cioè è il protocollo firefox:// di firefox che non fa un controllo corretto degli argomenti. Cioè IE lancia firefox usando l'url firefox:// poi firefox viene eseguito ed è firefox poi che non controllando gli argomenti permette l'esecuzione di altri file o comandi (cmd.exe). E' firefox che apre cmd.exe, NON IE.Saluti da P4
      • P4_ scrive:
        Re: NOTIZIA ERRATA: la falla è in Firefox!!!
        - Scritto da: lorenzodes
        E' una falla in IE, anche se Firefox non è esente
        da biasimo. La falla sta nel fatto che IE lancia
        Firefox, attraverso l'API ShellExecutema quanto sei ignorante. Sai almeno perchè IE o qualunque altro browser lancia Firefox? Perchè firefox ha registrato il suo protocollo firefoxurl:// e la falla non sta nel fatto che sia in grado di eseguire firefox.exe ma sta nel fatto che quel protocollo firefoxurl:// essendo fallato permette poi di eseguire altri file o comandi cioè è il protocollo firefoxurl:// di firefox che non fa un controllo corretto degli argomenti. Cioè IE lancia firefox usando l'url firefoxurl:// poi firefox viene eseguito ed è firefox poi che non controllando gli argomenti permette l'esecuzione di altri file o comandi (cmd.exe). E' firefox che apre cmd.exe, NON IE.Tant'è che secunia parla proprio di falla in Firefox:Firefox "firefoxurl" URI Handler Vulnerabilityhttp://secunia.com/advisories/25984/Saluti da P4
        • nuclearstre ngth scrive:
          Re: NOTIZIA ERRATA: la falla è in Firefox!!!
          ora io no so molto di programazione OS & co.mi sembra che la storia si ache da ie si clicc aun link, il link apre una applicazione esterna quindi per IE va bene e non controlla l'input che passa all'applicazine esterna.poi si apre firefox che pensa di eseere stato aperto dall'esterno quindi la stringa dell'input non viene controllata prorpio perchè aperta da un altro programma.cioè tutti credono che dovrà essere un altro a controllare se sto cavolo di input va bene o è malizioso?in casi analoghi cosa si fà?deve esser echi apre l'applicaizone esterna a controllare gli argomenti che le passa o l'applicazione aperta deve non dfidarsi degl input che arrivano tramite l'apertuta da parte di applcaizona terza e non utente?la MS cos dice in proposito? (a propostio di chji deve ontrollar echi non ha proposito di quale browser sia il più sicuro)cmq l'UAC dovrebbe appunto segnalarlo no?poi scusate ma a cosa dovrebbe servir eil protocollo firefoxURL??? ad aprire certe url solo con firefox e non altri browser o a cosa?
          • lorenzodes scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: nuclearstre ngth[...]
            in casi analoghi cosa si fà?
            deve esser echi apre l'applicaizone esterna a
            controllare gli argomenti che le passa o
            l'applicazione aperta deve non dfidarsi degl
            input che arrivano tramite l'apertuta da parte di
            applcaizona terza e non
            utente?La cosa è molto semplice: abbiamo una RFC, la 1738, che disciplina il modo in cui devono essere trattati gli URL. Il documento specifica che alcuni caratteri (fra cui il carattere di doppio apice/virgolette usato per l'exploit di cui sopra) devono essere considerati insicuri e, quando usati, devono essere "encoded" nel corrispondente valore esadecimale preceduto dal simbolo %. Explorer omette di farlo nel passare l'URL a Firefox e Firefox non può farlo poiché quando la stringa gli arriva è stata già processata e modificata da Explorer e non risulta più essere un URL!
          • sala scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: lorenzodes
            La cosa è molto semplice: abbiamo una RFCno guarda le RFC non centrano nulla. Nessun browser ha il diritto di eseguire un exe qualsiasi da internet. E qui è Firefox che esegue exe qualsiasi.
          • lorenzodes scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: sala
            - Scritto da: lorenzodes

            La cosa è molto semplice: abbiamo una RFC

            no guarda le RFC non centrano nulla. Nessun
            browser ha il diritto di eseguire un exe
            qualsiasi da internet. E qui è Firefox che esegue
            exe
            qualsiasi.Hai capito come funziona l'exploit? Guarda che né Firefox né Internet Explorer lanciano "un exe da Internet".La cosa è diversa: Explorer lancia Firefox e gli dà in pasto dei comandi che a quest'ultimo sembrano legittimi, ma che in realtà derivano dall'elaborazione (senza alcuna verifica "sanitaria") da parte di Explorer di un url malformato.
          • P4_ scrive:
            Re: NOTIZIA ERRATA: la falla è in Firefox!!!
            - Scritto da: nuclearstre ngth
            mi sembra che la storia si ache da ie si clicc
            aun link, il link apre una applicazione esternaLa falla non sta nell'aver eseguito Firefox, ma la falla sta nel fatto che Firefox processa male i suoi argomenti e clamorosamente fa partire un'exe qualunque (nell'esempio cmd.exe).La falla è in Firefox, NON in IE.
  • gigi scrive:
    Ennesima dimostrazion che FF è colabrodo
    Ennesima dimostrazion che FF è un colabrodo
    • crack scrive:
      Re: Ennesima dimostrazion che FF è colabrodo
      mai qunato internet explorer
    • Olmo scrive:
      Re: Ennesima dimostrazion che FF è colabrodo

      Ennesima dimostrazion che FF è un colabrodoDon't feed the troll
      • sala scrive:
        Re: Ennesima dimostrazion che FF è colabrodo
        - Scritto da: Olmo
        Don't feed the trollhttp://www.frsirt.com/english/advisories/2007/2473A vulnerability has been identified in Mozilla Firefox, which could be exploited by attackers to take complete control of an affected system. This issue is caused by a design error within the "FirefoxURL://" URI handler which is registered by the application during the installation process on Windows, which could be exploited by remote attackers to pass malicious arguments to "FirefoxURL://" and execute arbitrary commands with Chrome privileges by tricking a user into visiting a specially crafted web page using Internet Explorer.
        • lorenzodes scrive:
          Re: Ennesima dimostrazion che FF è colabrodo
          - Scritto da: sala
          - Scritto da: Olmo

          Don't feed the troll

          http://www.frsirt.com/english/advisories/2007/2473
          A vulnerability has been identified in Mozilla
          Firefox, http://www.securityfocus.com/bid/24837/discuss"Microsoft Internet Explorer is prone to a vulnerability that lets attackers inject commands through the 'FirefoxURL' protocol handler.[...]"Questione di punti di vista...
  • gigi scrive:
    IE bucabile per colpa di Firefox
    Veramente è IE che è bucabile per colpa di Firefox.La falla sta in Firefox non in IE
  • lalla63 scrive:
    potenza di Exlorer Microsoft
    E' talmente un colabrodo che permette pure di attaccare gli altri browser.Supera sè stesso !!!!!!!!!
    • gigi scrive:
      Re: potenza di Exlorer Microsoft
      - Scritto da: lalla63
      E' talmente un colabrodo che permette pure di
      attaccare gli altri
      browser.
      Supera sè stesso !!!!!!!!!un altro che non ha capito niente, è il protocollo firefox:// ad essere fallato, non IE.
    • pretoriano scrive:
      Re: potenza di Exlorer Microsoft
      Lo stesso problema sorge con Opera e Safari (x win).
      • Albex scrive:
        Re: potenza di Exlorer Microsoft
        lo stesso problema potrebbe sorgere in firefox richiamando lo stesso protocollo di firefox... in teoria. o in qualsiasi programma di posta creando un link a tale protocollo... anche in qualsiasi eseguibile... dappertutto piu o meno.
  • flxmra scrive:
    mah
    mmmmm....io ho provato a lanciare FirefoxURL://www.google.it, ma:1. mi chiede conferma per eseguire ua applicazione esterna (FFox)2. in realtà non mi apre un bel niente, nel senso che continua a chiedermi il permesso ed ogni volta che acconsento apre un tab vuoto e ripropone il messaggio di richiesta.cmq basta non usare IE o simili, a quanto ho capito.
    • Xendorf scrive:
      Re: mah
      Dimentichi il problema più grosso dell'informatica: gli utenti.Quando ti apre la richiesta ti permette anche di scegliere il "Ricorda la scelta effettuata per tutti i link di questo tipo" ... abilitala e qualsiasi altra richiesta di tipo "FirefoxURL://www.www.www" verrà eseguita senza chiedere più nulla.
    • Presid. Scrocco scrive:
      Re: mah
      Anche io ho provato FirefoxURL://www.google.it, mi dice che deve lanciare un'applicazione esterna, ma quando clicco su "ok" mi appare una pagina vuota seguita da un'altra richiesta... mah...
  • lowres scrive:
    In realtà la falla è di IE
    Tecnicamente questa è una falla di IE su Windows XP, o peggio di Windows, non di Firefox, che in questo caso viene usato come cavallo di troia.Non mi è affatto chiaro come sia possibile aprire FireFox da IE (?), cliccando su una pagina web nella stessa sessione di navigazione.
    • J.M. scrive:
      Re: In realtà la falla è di IE
      semplicemente con un link del tipo FirefoxURL://www.google.it ;)
      • MandarX scrive:
        Re: In realtà la falla è di IE
        - Scritto da: J.M.
        semplicemente con un link del tipo
        FirefoxURL://www.google.itImpossibile visualizzare la pagina Web
    • gigi scrive:
      Re: In realtà la falla è di IE
      - Scritto da: lowres
      Tecnicamente questa è una falla di IE su Windows
      XP, o peggio di Windows, non di Firefoxguarda che è il protoccolo firefox:// ad essere fallato, non IE
    • gigi scrive:
      Re: In realtà la falla è di IE
      - Scritto da: lowres
      Tecnicamente questa è una falla di IE sicuro?http://secunia.com/advisories/25984/
    • pretoriano scrive:
      Re: In realtà la falla è di IE
      La falla sta in firefox e nelle sue chiavi di registro, non in IE. Leggi:"Utilizzando l'URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based )
  • Ilpiccolo scrive:
    Mac
    Su mac l'exploit non funziona...
    • Alessandrox scrive:
      Re: Mac
      - Scritto da: Ilpiccolo
      Su mac l'exploit non funziona...Scommettiamo che funziona solo su windows? :D
      • Non authenticat scrive:
        Re: Mac
        - Scritto da: Alessandrox
        - Scritto da: Ilpiccolo

        Su mac l'exploit non funziona...

        Scommettiamo che funziona solo su windows?
        :DScomettiamo che non è una novità?
  • guidoz scrive:
    ma che razza di vulnerabilità sarebbe?
    un bug per masochisti o cosa?Se uno ha firefox difficilmente usa IE... e poi il bug sta in IE, no? E' troppo integrato con il sistema.. ed è per questo che succede sta cosa.. i progettisti di FF saranno sbadati a non averci pensato credendo che quel tipo di URL potesse essere utilizzato solo dal sistema operativo e quindi direttamente dall'utente... ma chi permette in un certo senso al codice maligno di entrare nell'OS è IE ^_^Scusate, non vorrei sembrare integralista Open Source.. in realtà non lo sono, ma IE non lo posso digerire, nè posso digerire che la sua forte integrazione nel sistema (che gli ha dato tanti problemi) colpisca firefox e si dia la colpa a quest'ultimo ^_^
    • gigi scrive:
      Re: ma che razza di vulnerabilità sarebbe?
      la falla sta in Firefox, non in IE
    • gigi scrive:
      Re: ma che razza di vulnerabilità sarebbe?
      - Scritto da: guidoz
      e poi il bug sta in IE, no? il bug sta in Firefox:http://secunia.com/advisories/25984/
    • pretoriano scrive:
      Re: ma che razza di vulnerabilità sarebbe?
      - Scritto da: guidoz
      un bug per masochisti o cosa?
      Se uno ha firefox difficilmente usa IE... Per esempio per usurfruire di siti con ActiveX o alcuni siti della Microsoft (talvolta con FF appaiono formattati male e i siti MS sono fra i + visitati dal mondo, specialmente dalle persone interessate all'informatica, ossia le persone che più probabilmente usano FF)
      e poi il bug sta in IE, no? No. Il bug sta in FF e nelle chiavi di registro che installa. Tantevero che può essere sfruttato da qualsiasi browser:[...] "Utilizzando l'URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) [...]
      E' troppo integrato
      con il sistema.. ed è per questo che succede sta
      cosa.. IE7 è integrato nella piattaforma tanto quanto FF e Opera. IE6 invece è troppo integrato però nessuno in teoria dovrebbe averlo più. Il software "sensibile" dovrebbe sempre essere aggiornato.
      • marco scrive:
        Re: ma che razza di vulnerabilità sarebbe?

        IE7 è integrato nella piattaforma tanto quanto FF
        e Opera. IE6 invece è troppo integrato però
        nessuno in teoria dovrebbe averlo più. Il
        software "sensibile" dovrebbe sempre essere
        aggiornato.Il software sensibile dovrebbe sempre essere AGGIORNABILE. Vallo a dire a tutti quelli che hanno win 2000
  • aloa scrive:
    Problema di Firefox... in parte
    cioè di FF che gira su Win, sul mio sistema questa vulnerabilità è assente.
  • Mauro Tassinari scrive:
    Vulnerabilita'
    E' pura utopia pensare di rendere sicuro windows.Antivirus, firewall, Browser alternativo, ... Non bastano mai!!(Scritto da Firefox/Linux)
  • Jackal scrive:
    Panda rosso?
    Perché nel sottotitolo della notizia associate a firefox un panda rosso? E' una volpe...
    • Andrea scrive:
      Re: Panda rosso?
      No, e' un panda rosso (Ailurus fulgens)http://pantransit.reptiles.org/images/1998-09-27/redpanda.jpg
    • aaaaaa bbbbbb scrive:
      Re: Panda rosso?
      - Scritto da: Jackal
      Perché nel sottotitolo della notizia associate a
      firefox un panda rosso? E' una
      volpe...ma che volpe !!! informati
      • bloom scrive:
        Re: Panda rosso?
        informatevi meglio anche voi...Queste sono le frasi di Jon su questo spinoso argomento: "A firefox is actually a cute red panda, but it didnt really conjure up the right imagery. The only concept I had done that I felt happy with was this, inspired by seeing a Japanese brush painting of a fox", per l'immagine giapponese della volpe si veda il link a Hicksdesign che porta alla storia del logo.http://www.kensan.it/articoli/Firefox_logo.php
    • Albex scrive:
      Re: Panda rosso?
      Ma non era un gatto ???[img]http://funhouse.bubble.ro/images/firefox/firefox_boobs.jpg[/img]
  • elio scrive:
    "Panda Rosso"
    Panda rosso riferito a Firefox ?????
    • Teldon scrive:
      Re: "Panda Rosso"
      Cerca: http://it.wikipedia.org/wiki/Firefoxtrovi:"# Firefox è un altro nome del panda rosso" http://it.wikipedia.org/wiki/Ailurus_fulgens
      • Andrea scrive:
        Re: "Panda Rosso"
        No, e' un panda rosso (Ailurus fulgens)http://pantransit.reptiles.org/images/1998-09-27/redpanda.jpg
        • BrUtE AiD scrive:
          Re: "Panda Rosso"
          http://arabam.e-kolay.net/fuar/2003/frankfurt/fiat_panda_xx.jpg
          • bloom scrive:
            Re: "Panda Rosso"
            Queste sono le frasi di Jon (autore del logo) su questo spinoso argomento: "A firefox is actually a cute red panda, but it didnt really conjure up the right imagery. The only concept I had done that I felt happy with was this, inspired by seeing a Japanese brush painting of a fox", per l'immagine giapponese della volpe si veda il link a Hicksdesign che porta alla storia del logo.In effetti il creatore del logo ha rappresentato una volpe, ma in seguito "firefox" (volpe di fuoco) ha finito per essere assimilato a "firefox" (nome inglese del panda rosso)-Il logo però in modo inequivocabile ha la morfologia di una volpe.http://www.kensan.it/articoli/Firefox_logo.php
  • Daniel Jackson scrive:
    E se uso solo Firefox?
    Se il problema si puo' innescare usando browser differenti, basta navigare esclusivamente con FF in attesa della patch, no?
    • erpirata scrive:
      Re: E se uso solo Firefox?
      - Scritto da: Daniel Jackson
      Se il problema si puo' innescare usando browser
      differenti, basta navigare esclusivamente con FF
      in attesa della patch,
      no?Già me lo stavo chiedendo anche io , ma non so se FF non usi ugualmente quella chiave in altre occasioni.
      • erpiratato scrive:
        Re: E se uso solo Firefox?

        Già me lo stavo chiedendo anche io , ma non so se
        FF non usi ugualmente quella chiave in altre
        occasioni.nel senso che stai ricercando un altro modo di sfruttare la falla o che non hai ben letto l'articolo?se dice che solo attraverso ie ...mah!
        • Revo scrive:
          Re: E se uso solo Firefox?
          - Scritto da: erpiratato

          Già me lo stavo chiedendo anche io , ma non so
          se

          FF non usi ugualmente quella chiave in altre

          occasioni.

          nel senso che stai ricercando un altro modo di
          sfruttare la falla o che non hai ben letto
          l'articolo?
          se dice che solo attraverso ie ...
          mah!Argomentazione valida nonchè molto tecnica nel risponderead un legittimo dubbio.Tu sicuramente, la cortesia sai dovè di casa...MAH!
          • devoto oli scrive:
            Re: E se uso solo Firefox?

            Tu sicuramente, la cortesia sai dovè di
            casa...MAH!tu l'italiano, bah!
      • Cassio scrive:
        Re: E se uso solo Firefox?
        se provi a digitare FirefoxURL://www.google.it da Firefox, lo stesso firefox dà un errore, almeno per quanto mi riguarda
        • gohan scrive:
          Re: E se uso solo Firefox?
          - Scritto da: Cassio
          se provi a digitare FirefoxURL://www.google.it da
          Firefox, lo stesso firefox dà un errore, almeno
          per quanto mi
          riguardaa me IE non carica nulla....
Chiudi i commenti