Internet Explorer 6, 7 e 8 con vulnerabilità Remote Code Execution

Internet Explorer 6, 7 e 8 con vulnerabilità Remote Code Execution

Microsoft informa in merito a una vulnerabilità individuata in Internet Explorer 6, 7 e 8. Disponibile un workaround in attesa della patch

di Fabio Boneschi pubblicata il , alle 09:23 nel canale Sicurezza
Microsoft
 

Nelle scorse ore Microsoft ha pubblicato un Security Advisory dedicato a Internet Explorer nelle versioni 6,7 e 8. Dalla nota di Microsoft si apprende che il browser nelle versioni appena indicate è affetto da una vulnerabilità di tipo Remote Code Execution e un exploit dedicato è stato rivelato su un sito online, prontamente neutralizzato.

Non è al momento disponibile una patch in grado di risolvere definitivamente il problema e nel Security Advisory viene indicata una procedura temporanea da mettere in atto in modo manuale; Microsoft dovrebbe rilasciare un fix in grado di automatizzare questa procedura a breve.

Sul blog NonSoloSecurity curato da Feliciano Intini -  Chief Security Advisor - vengono riportate altre informazioni:

"Al momento si è a conoscenza di attacchi limitati, e in particolare diretti a IE6, che hanno utilizzato questa vulnerabilità ma sono stati prontamente neutralizzati e non hanno causato alcun danno ai clienti. Si ritiene difficile che si possano realizzare attacchi pericolosi verso IE8 grazie alla protezione offerta dal DEP, abilitata in modo nativo su tutte le versioni di Windows"

Il fatto che gli attacchi per ora individuati siano rivolti in particolare a Internet Explorer 6 non deve essere visto come un elemento confortante, infatti come riportato qualche giorno fa questa obsoleta versione di browser è ancora utilizzata dal 15% degli utenti web. Microsoft sottolinea come la recente beta di Internet Explorer 9 sia immune da questo problema.

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy04 Novembre 2010, 11:04 #1
Si ritiene difficile che si possano realizzare attacchi pericolosi verso IE8 grazie alla protezione offerta dal DEP, abilitata in modo nativo su tutte le versioni di Windows

il DEP si può attivare anche per IE6 e per qualunque altro sw a partire da win XPsp2... non capisco.
WarDuck04 Novembre 2010, 11:10 #2
Originariamente inviato da: zappy
il DEP si può attivare anche per IE6 e per qualunque altro sw a partire da win XPsp2... non capisco.


Immagino che non sia abilitato di default, mentre in Windows 7 lo è.

Comunque non scordiamoci che in Vista e 7 IE gira sotto modalità protetta (se UAC è abilitato).
Manwë04 Novembre 2010, 11:14 #3
15% degli utenti web sono quelli che vanno in giro con la scritta KickMe! attaccata sulla schiena
zappy04 Novembre 2010, 14:15 #4
Originariamente inviato da: WarDuck
Immagino che non sia abilitato di default, mentre in Windows 7 lo è.

Il DEP-per-tutto è la prima cosa che abilito installando XP.

Comunque non scordiamoci che in Vista e 7 IE gira sotto modalità protetta

ovvero?
albythebest04 Novembre 2010, 14:29 #5
Per la cronaca, sono diversi anni che esistono tecniche per bypassare DEP e ASLR. Non siate così tranquilli e gioiosi.
EDIT: E l'UAC non è mai stata una protezione contro exploit remoti, mai.
P.S. Non dimenticatevi l'enorme utenza aziendale, loro certo non possono aggiornare il browser e magari neanche il povero reparto IT può farlo se l'azienda utilizza software che necessitano per forza di IE6 (caso frequente).
zappy04 Novembre 2010, 14:40 #6
Originariamente inviato da: albythebest
Per la cronaca, sono diversi anni che esistono tecniche per bypassare DEP e ASLR.


per dep sapevo. aslr no.
meglio di un calcio nelle palle, comunque
baruk05 Novembre 2010, 09:49 #7
Originariamente inviato da: albythebest
Per la cronaca, sono diversi anni che esistono tecniche per bypassare DEP e ASLR. Non siate così tranquilli e gioiosi.
EDIT: E l'UAC non è mai stata una protezione contro exploit remoti, mai.
P.S. Non dimenticatevi l'enorme utenza aziendale, loro certo non possono aggiornare il browser e magari neanche il povero reparto IT può farlo se l'azienda utilizza software che necessitano per forza di IE6 (caso frequente).


Infatti... la gente tende a pensare che il computer di lavoro equaivale a quello di casa.
WarDuck08 Novembre 2010, 15:30 #8
Originariamente inviato da: zappy
ovvero?


Vista e 7 sfruttano il concetto di Integrity Level che è presto detto: ogni eseguibile gira ad un dato livello e nella gerarchia un processo che ha integrità più bassa non può modificare risorse ad integrità più alta (di default dovrebbe essere comunque consentita la sola lettura).

Con UAC abilitato la maggior parte dei processi utente gira a livello di integrità Medio.

IE e Chrome hanno un processo padre che ha integrità Media, mentre invece i processi figli (ergo le finestre e in IE anche i plugins) girano ad integrità Bassa.

Questo significa che se esiste una falla in IE tale per cui si possa eseguire codice direttamente dal processo, questo codice comunque non può modificare i processi ad integrità più alta.

Quando si da autorizzazione ad UAC il processo viene elevato e passa ad integrità Alta, il che significa che comunque processi Medi e Bassi non potranno intaccarlo.

Chiaramente un processo con integrità Alta può toccare tutti gli altri al di sotto.

Faccio notare che comunque che esiste un livello di integrità ancora superiore, che dovrebbe essere riservato ai servizi di sistema.

Originariamente inviato da: albythebest
Per la cronaca, sono diversi anni che esistono tecniche per bypassare DEP e ASLR. Non siate così tranquilli e gioiosi.


Vero ma oltre a non essere alla portata di tutti, spesso risultano comunque inutili.

All'ultimo CanSecWest hanno presentato l'exploit su IE8, riuscendo ad avviare la calcolatrice, ma non potendo comunque modificare e o eseguire altro codice che non fosse già presente sulla macchina.

Originariamente inviato da: albythebest
EDIT: E l'UAC non è mai stata una protezione contro exploit remoti, mai.
P.S. Non dimenticatevi l'enorme utenza aziendale, loro certo non possono aggiornare il browser e magari neanche il povero reparto IT può farlo se l'azienda utilizza software che necessitano per forza di IE6 (caso frequente).


L'utente ha sempre ovviamente l'ultima parola, questo su qualunque sistema.

Tuttavia UAC garantisce un certo livello di protezione (per il sistema stesso, non per i dati dell'utente, di cui il responsabile è e rimane l'utente), tant'è che nel primo anno di vita di Vista il 92% delle falle del sistema sono risultate inoffensive grazie ad UAC, proprio per i motivi sopra citati (integrity levels in particolare).

UAC di per se consente agli utenti di passare più tempo con privilegi limitati, ed è questo che fa la differenza.
zappy08 Novembre 2010, 16:53 #9
Originariamente inviato da: WarDuck
Vista e 7 sfruttano il concetto di Integrity Level che è presto detto: ogni eseguibile gira ad un dato livello e nella gerarchia un processo che ha integrità più bassa non può modificare risorse ad integrità più alta (di default dovrebbe essere comunque consentita la sola lettura).

Con UAC abilitato la maggior parte dei processi utente gira a livello di integrità Medio.

IE e Chrome hanno un processo padre che ha integrità Media, mentre invece i processi figli (ergo le finestre e in IE anche i plugins) girano ad integrità Bassa.

Questo significa che se esiste una falla in IE tale per cui si possa eseguire codice direttamente dal processo, questo codice comunque non può modificare i processi ad integrità più alta.

Quando si da autorizzazione ad UAC il processo viene elevato e passa ad integrità Alta, il che significa che comunque processi Medi e Bassi non potranno intaccarlo.

Chiaramente un processo con integrità Alta può toccare tutti gli altri al di sotto.

Faccio notare che comunque che esiste un livello di integrità ancora superiore, che dovrebbe essere riservato ai servizi di sistema.


Insomma, è un po' come far girare un sw come admin o come utente?
WarDuck09 Novembre 2010, 11:29 #10
Originariamente inviato da: zappy
Insomma, è un po' come far girare un sw come admin o come utente?


Con UAC attivo di fatto sei la maggior parte del tempo utente standard (anche se usi l'account default).

Quando con UAC ti elevi, passi ad Admin.

In ogni caso grazie agli Integrity Levels è possibile fornire una sorta di sandboxing dei processi non strettamente legato all'utente, vedi il caso di IE.

La conclusione più logica è: chi ha Vista o 7 tenesse UAC attivato .

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^