Nuovi bug per Internet Explorer

Alcuni bug hunter hanno individuato in Internet Explorer tre nuove vulnerabilità di sicurezza, di cui due considerate abbastanza rischiose. Al momento non ci sono patch


Roma – Nonostante in questo periodo i riflettori dei media fossero puntati su Firefox , i cacciatori di bug sembrano non aver distolto la propria attenzione da Internet Explorer. Il browser di casa Microsoft è infatti al centro di due nuovi advisory di sicurezza in cui si descrivono tre vulnerabilità non ancora corrette.

In questo bollettino Secunia spiega che le due falle più serie, classificate come “moderatamente critiche”, “possono essere sfruttate, in combinazione, da un sito Web malevolo per indurre un utente a scaricare un file eseguibile malevolo mascherato da documento HTML”. Entrambe le vulnerabilità interessano Internet Explorer 6.0, incluso il Service Pack 2 per Windows XP.

Il primo bug permette ad un sito malevolo di bypassare il controllo di sicurezza dell’SP2 sui tipi di file pericolosi, mentre il secondo consente di mascherare la vera estensione di un file (ma funziona solo se l’utente ha lasciato abilitata la funzione predefinita di Windows “Nascondi le estensioni per i tipi di file conosciuti”). La descrizione della prima vulnerabilità è simile a quella segnalata di recente da Finjan Software, la stessa società secondo cui nell’SP2 vi sarebbero 10 problemi di sicurezza . Per il momento non è dato sapere se le due falle sono effettivamente le stesse.

In attesa che Microsoft rilasci una patch, Secunia ha suggerito agli utenti di disabilitare l’Active Scripting di IE e l’opzione “Nascondi le estensioni per i tipi di file conosciuti” delle cartelle di Windows.

Una terza vulnerabilità minore, descritta qui , può invece essere utilizzata da un sito Web malevolo per sovrascrivere i cookie di altri siti: questo può tuttavia avvenire solo in alcune circostanze e funziona solo con le versioni di Windows XP prive dell’SP2.

Microsoft ha detto di essere al corrente di tali advisory e di stare investigando sui problemi segnalati. Il colosso non ha mancato di criticare la scelta degli scopritori dei tre bug di rilasciare i dettagli delle falle senza attendere la disponibilità delle relative patch.

Negli scorsi giorni George Stathakopoulos, director della product security di Microsoft, ha svelato che la propria azienda sta lavorando sull’ipotesi di allungare il ciclo di pubblicazione dei bollettini di sicurezza, portandolo da uno a sei mesi. Stathakopoulos afferma che ciò sarà possibile grazie all’elevata sicurezza che offrirebbero i più recenti software di Microsoft, incluso Windows XP SP2, in congiunzione con le ultime generazioni di processori dotati del supporto al bit No eXecute (NX).

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Ancora?
  • Anonimo scrive:
    Re: eh che barba...
    Dico, ogni tanto, prima di postare, perchè non vi svegliate? Qualcosa di unversale c'è: si chiama sorgente. E se non hai voglia/tempo di compilartelo moltissime distribuzioni scaricano le dipendeze da sè, basta essere allacciati alla rete. Hai presente? Inoltre esistono moltissimi siti che riuniscono pacchetti per questa e quella distro quindi, utenti win, non parlate più del dovuto quando proprio fra le notizie di oggi ci sono falle per explorer e andatevi tutti a scaricare altri browser, e soprattutto, per non essere come noi "ladri" (detto dall'alto della vostra superiorità) pagatelo, nessuno vi obbliga a non farlo... Ops, sono un po' OT
  • Anonimo scrive:
    Re: eh che barba...
    Hai dimenticato "non ci sono più le mezze stagioni" e "Piove governo ladro"...Installazione di MDK: 15 minUrpmi programma.rpm: 2 minChe problema c'é?
  • Anonimo scrive:
    Re: eh che barba...
    limitante??? da una console di giochi mi aspetto che schiaccio on e parta, senza problemi.C'è un po' di confusione in questo forum sull'informatica: non tutti quelli che parlano qui dentro sono programmatori, sviluppatori, studenti o smanettoni, s'è anche l'utente e l'utente non vuole controllare mille cose, vuole schiacciare un bottone ed essere produttivo e, per sua soddisfazione personale, vuole farlo da solo!!!.C'è l'informatica come fine (realizzo un programma ed il programma è il risultato e deve essere il più bello possibile - il che vuol dire codice ben progettato, object oriented, generico e riutilizzabile, con gli algoritmi ottimizzati) e c'è l'informatica come mezzo (realizzo u programma perchè devo fare delle operazioni, non è il programma che mi serve, sono i risultati di tali operazioni e devo ottenerli nel modo più congeniale possibile - in breve tempo oppure ben formattati oppure altre forme di esigenze)Converrete che i due approcci sono entrambi possibili e sembrano inconciliabili.
  • Anonimo scrive:
    LSB è un po' diverso
    Non per sminuire quanto scritto, ma LSB è un sistema per rendere compatibili i binari di terze parti che comprende ben più di quattro librerie e due utility, mentre United Linux puntava proprio a unificare le distribuzioni (tra l'altro la maggior parte dei vendor che vi aderirono era in crisi per una ragione o per l'altra).LSB1 è già supportato, da almeno un anno, ad esempio su Mandrake.
  • Anonimo scrive:
    Re: eh che barba...

    Gentoo.
    E passa la paura ;)Sì, passa la paura e nasce il panico.
  • Anonimo scrive:
    Re: eh che barba...
    utenti linux: passate a FreeBSD...ha una gestione del software incredibile (packages e ports), in modo che puoi scegliere se compilare tutto da sorgente o installarti il binario.Gentoo ha una gestione simile, credo che venga da FreeBSD l'idea.Inoltre FreeBSD offre un pacchetto di compatibilità per soft scritto per linux che non è niente male!Io lo uso anche come desktop e mi ci trovo bene!Provare per credere :-)
    • Anonimo scrive:
      Re: eh che barba...
      - Scritto da: Anonimo
      utenti linux: passate a FreeBSD...

      ha una gestione del software incredibile
      (packages e ports), in modo che puoi
      scegliere se compilare tutto da sorgente o
      installarti il binario.

      Gentoo ha una gestione simile, credo che
      venga da FreeBSD l'idea.
      Si l'idea viene da FreeBSD ma è stata migliorata e semplificata (automatizzata) quindi personalmente trovo Gentoo insuperabile.Insomma: Utenti FreeBSD e utenti Linux con voglia di imparare.. provate anche Gentoo Linux! Potreste innamorarvi (linux) :)La sconsiglio invece a chi vuole qualcosa da gestire in modo simile a windows, per questi utenti molto meglio SUSE, Mandrake o magari Yoper.
    • Anonimo scrive:
      Re: eh che barba...
      - Scritto da: Anonimo
      utenti linux: passate a FreeBSD...L'ho provato... non mi piace... per il desktop resto con Slackware
  • Anonimo scrive:
    Re: eh che barba...
    beh, passa... Gentoo e' una figatina, ma se parti da stage 1 e ti compili tutto ad hoc, passano anche le notti :-(Comunque ha la miglior gestione delle dipendenze che abbia mai visto su Linux (che secondo me da sempre ha li' la sua palla al piede, assieme alla scarsita' del software se confrontato a Windows).Burp
    • paulatz scrive:
      Re: eh che barba...
      - Scritto da: Anonimo
      Comunque ha la miglior gestione delle
      dipendenze che abbia mai visto su Linux (che
      secondo me da sempre ha li' la sua palla al
      piede, assieme alla scarsita' del software
      se confrontato a Windows).Perché in windows le dipendenze sono ben gestite?L'ultimo porgramma che installi sei sicuro che funziona, tutti gli altri solo se l'ultimo non ne ha sovrascritto una dll.

      Burp
      • Anonimo scrive:
        Re: eh che barba...
        - Scritto da: paulatz
        L'ultimo porgramma che installi sei sicuro
        che funziona,Ah si' ? Io no.
        tutti gli altri solo se
        l'ultimo non ne ha sovrascritto una dll.Quindi o e' colpa del programma di installazione o di chi ha realizzato la dll con un numero di versione posteriore a quella che viene sovrascritta senza garantire la compatibilita' all'indietro.Siamo d'accordo, il sistema operativo non c'entra nulla.Burp
        • Anonimo scrive:
          Re: eh che barba...
          - Scritto da: Anonimo
          - Scritto da: paulatz

          L'ultimo porgramma che installi sei sicuro

          che funziona,
          Ah si' ? Io no.

          tutti gli altri solo se

          l'ultimo non ne ha sovrascritto una dll.

          Quindi o e' colpa del programma di
          installazione o di chi ha realizzato la dll
          con un numero di versione posteriore a
          quella che viene sovrascritta senza
          garantire la compatibilita' all'indietro.

          Siamo d'accordo, il sistema operativo non
          c'entra nulla.Vero: non e' colpa di Windows, e' M$ che fa gli installer di Mer...
    • Anonimo scrive:
      Re: eh che barba...
      - Scritto da: Anonimo
      Comunque ha la miglior gestione delle
      dipendenze che abbia mai visto su LinuxSi vede che hai vasta esperienza...
  • Anonimo scrive:
    Re: eh che barba...
    - Scritto da: Anonimo
    Gentoo.
    E passa la paura ;)Queste battutine ad effetto, tipo: "t'àngozz, e passa la paura", "stucaz, e passa la paura" e sempre più giù nel deliquio mentale, sanno proprio di nerd saccente e brufoloso.
    • Anonimo scrive:
      Re: eh che barba...
      - Scritto da: Anonimo
      Queste battutine ad effetto, tipo:
      "t'àngozz, e passa la paura",
      "stucaz, e passa la paura" e sempre
      più giù nel deliquio mentale,
      sanno proprio di nerd saccente e brufoloso.Volevo solo dire con Gentoo basta scrivere # emerge "quellochetipare" e ci pensa lui a scaricare il software, verificare le dipendenze, (compilarlo se vuoi) e installarlo. Sbattimento 0. Anche quando si cerca di dare consigli (consigli da amico e non ammonimenti divini) ti sputano addosso ugualmente. Tieniti pure i tuoi paraocchi.Mi sono spiegato ora rosikone?Ps. non sono ne nerd, ne saccente ne brufoloso. (non ci hai proprio azzeccato).
Chiudi i commenti