Settembre mese nero per Internet Explorer
Due gravi falle hanno messo in ginocchio il browser di casa Redmond, costringendo la Microsoft ad un aggiornamento supplementare fuori del ciclo mensile.
di Marco Giuliani pubblicata il 02 Ottobre 2006, alle 17:12 nel canale SicurezzaMicrosoft
Intorno alla metá di Settembre é stato infatti scoperto un bug particolarmente grave nella libreria Microsoft Vector Graphics Rendering (vgx.dll), adibita a processare documenti vML (Vector Markup Language). La vulnerabilitá, che - come classica routine - permetteva l'esecuzione di codice da remoto, é stata aggravata dall'exploit che é stato reso pubblico su internet. Molti siti hanno sfruttato questo exploit, tanto che la Microsoft é dovuta correre ai ripari rilasciando un update per il browser fuori dal classico ciclo mensile di aggiornamenti di sicurezza.
Ma, come nelle peggiori favole, sistemato un bug ne viene subito scoperto un altro. Un errore nel controllo ActiveX WebViewFolderIcon, precisamente nel metodo SetSlice(), é stato scoperto pochissimi giorni dopo il rilascio della patch di Microsoft per il primo grave bug.
Anche questa situazione si é andata aggravandosi dopo che qualche programmatore ha rilasciato pubblicamente su uno dei siti web piú famosi per exploit, MilW0rm, un exploit che potesse sfruttare questa falla.
E, anche questa storia ormai nota, in poche ore molti siti hanno iniziato a sfruttare questa nuova falla, costringendo le societá di antivirus a correre ai ripari per difendere l'utente dove il browser tutt'ora non fa. Infatti non esiste a questo secondo bug una patch ufficiale, sebbene Microsoft abbia rilasciato un bollettino dove dá indicazioni su come disattivare i controlli ActiveX. Da notare che questa falla, sebbene si sia aggravata nel corso di questi giorni a causa dell'exploit pubblico, in realtá é stata scoperta intorno la metá di Luglio di quest'anno.
Tutt'ora è stata rilasciata solo una patch da parte della società Determina®. La patch è scaricabile come pacchetto autoinstallante (MSI) o come ZIP contenente i binari e il codice sorgente.
In alternativa é consigliabile l'utilizzo di browser alternativi, tra i piú famosi Mozilla Firefox o Opera. Ovviamente senza mai scordarsi di aggiornare il proprio software antivirus.
41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMa c'è mai stato un mese non nero per IE? Io in effetti capisco le vulnerabilità subito dopo il rilascio di una versione maggiore ma a 5 anni dal rilascio mi pare strano che vengano fuori ancora bug da oggetti comunissimi.
IE ha 7 anni...quando è stato progettato, certi tipi di problemi nemmeno se li sognavano...è ovvio che pubblicano patch su problemi che si presentano nel tempo...tutti con la sfera di cristallo devono stare?
indossare sempre un profilattico al browser e all'utente prima dell'uso - per l'utonto provvedere anche la vaselina;
google è bravissimo a dare risultati, ma tanti siti sono bravi a farsi trovare per ciò che in realtà non sono: ovvero ciò che cercavi veramente;
JavaScript, ActiveX fanno presto a fregarti, con un popup giusto sotto la tua freccettina, o trojami autoinstallanti autolancianci...;
Insomma, a volte anche solo sbagliando una URL rischi di trovarti fregato... (senza vaselina preliminare)
Insomma, a volte anche solo sbagliando una URL rischi di trovarti fregato... (senza vaselina preliminare)
Questo è purtroppo vero
C'è anche da dire che quando navigo da macchine linux mi ci diverto a cliccarci sopra
Vabbè, questo è un pò OT
vero è che è quindi il più studiato
però è anche programmato male evidentemente.
Non è possibile che continuino a esserci così tanti bug anche dopo così tanto tempo...
Da una società che si fa pagare profumatamente per il suo sistema operativo... le possibilità sono due per il browser:
o non lo mette
o ne mette uno decente
Mi spiego meglio, vero è che la microsoft non mi piace, ma non è questo il punto. Se io pago un sistema operativo, state pur certi che il browser lo pago. Non pensate che i costi di sviluppo di internet explorer non si riflettano sul costo totale di windos
Cioè, anche firefox ha dei bachi ma in genere non sono così gravi e con gli appositi plugin con un solo click si può disattivare tutti gli script di default per i tutti i siti.
Quindi firefox è un programma migliore E non lo pago. I difeti di firefox sono accettabili perchè non lo pago. Quelli di IE NO perchè io l'ho pagato. Che poi tanta gente pirati e consideri windws gratuito.. non fa testo. Questo è il motivo per cui spero TANTO in qualche cosa che debelli la pirateria. Così la gente o paga o passa a un sistema gratuito... tipo linux.
Un piccolo aiuto
Non ricordo chi mi ha suggerito di installare questa piccola utility...http://www.siteadvisor.com/
...progettata da McAfee (forse proprio HW Upgrade), ma penso che contribuisca a rendere più sicura la navigazione perché indica - per ogni sito visitato - la potenziale intrusione di vari oggetti (malware e activeX dovrebbero essere compresi).
Oppure non c'entra niente?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".