Settembre mese nero per Internet Explorer

Settembre mese nero per Internet Explorer

Due gravi falle hanno messo in ginocchio il browser di casa Redmond, costringendo la Microsoft ad un aggiornamento supplementare fuori del ciclo mensile.

di pubblicata il , alle 17:12 nel canale Sicurezza
Microsoft
 
Settembre nero per il browser di casa Microsoft. Il noto software é stato infatti vittima di due exploit pubblicati dopo due altrettante gravi vulnerabilitá scoperte nelle righe di codice del programma.

Intorno alla metá di Settembre é stato infatti scoperto un bug particolarmente grave nella libreria Microsoft Vector Graphics Rendering (vgx.dll), adibita a processare documenti vML (Vector Markup Language). La vulnerabilitá, che - come classica routine - permetteva l'esecuzione di codice da remoto, é stata aggravata dall'exploit che é stato reso pubblico su internet. Molti siti hanno sfruttato questo exploit, tanto che la Microsoft é dovuta correre ai ripari rilasciando un update per il browser fuori dal classico ciclo mensile di aggiornamenti di sicurezza.

Ma, come nelle peggiori favole, sistemato un bug ne viene subito scoperto un altro. Un errore nel controllo ActiveX WebViewFolderIcon, precisamente nel metodo SetSlice(), é stato scoperto pochissimi giorni dopo il rilascio della patch di Microsoft per il primo grave bug.

Anche questa situazione si é andata aggravandosi dopo che qualche programmatore ha rilasciato pubblicamente su uno dei siti web piú famosi per exploit, MilW0rm, un exploit che potesse sfruttare questa falla.

E, anche questa storia ormai nota, in poche ore molti siti hanno iniziato a sfruttare questa nuova falla, costringendo le societá di antivirus a correre ai ripari per difendere l'utente dove il browser tutt'ora non fa. Infatti non esiste a questo secondo bug una patch ufficiale, sebbene Microsoft abbia rilasciato un bollettino dove dá indicazioni su come disattivare i controlli ActiveX. Da notare che questa falla, sebbene si sia aggravata nel corso di questi giorni a causa dell'exploit pubblico, in realtá é stata scoperta intorno la metá di Luglio di quest'anno.

Tutt'ora è stata rilasciata solo una patch da parte della società Determina®. La patch è scaricabile come pacchetto autoinstallante (MSI) o come ZIP contenente i binari e il codice sorgente.

In alternativa é consigliabile l'utilizzo di browser alternativi, tra i piú famosi Mozilla Firefox o Opera. Ovviamente senza mai scordarsi di aggiornare il proprio software antivirus.

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Kintaro7002 Ottobre 2006, 17:15 #1
Par condicio con FF quindi
Asterion02 Ottobre 2006, 17:22 #2
E dai non facciamo sempre la gara con firefox

Ma c'è mai stato un mese non nero per IE? Io in effetti capisco le vulnerabilità subito dopo il rilascio di una versione maggiore ma a 5 anni dal rilascio mi pare strano che vengano fuori ancora bug da oggetti comunissimi.
MasterGuru02 Ottobre 2006, 17:30 #3
e daje...ma perchè quando un software ha dei bug, si cercano subito i confronti?
IE ha 7 anni...quando è stato progettato, certi tipi di problemi nemmeno se li sognavano...è ovvio che pubblicano patch su problemi che si presentano nel tempo...tutti con la sfera di cristallo devono stare?
ronthalas02 Ottobre 2006, 17:31 #4
MAI dimenticare le normali precauzioni:

indossare sempre un profilattico al browser e all'utente prima dell'uso - per l'utonto provvedere anche la vaselina;
google è bravissimo a dare risultati, ma tanti siti sono bravi a farsi trovare per ciò che in realtà non sono: ovvero ciò che cercavi veramente;
JavaScript, ActiveX fanno presto a fregarti, con un popup giusto sotto la tua freccettina, o trojami autoinstallanti autolancianci...;

Insomma, a volte anche solo sbagliando una URL rischi di trovarti fregato... (senza vaselina preliminare)
Motosauro02 Ottobre 2006, 17:36 #5
Originariamente inviato da: ronthalas
cut...

Insomma, a volte anche solo sbagliando una URL rischi di trovarti fregato... (senza vaselina preliminare)

Questo è purtroppo vero

C'è anche da dire che quando navigo da macchine linux mi ci diverto a cliccarci sopra
Vabbè, questo è un pò OT
hostile02 Ottobre 2006, 17:49 #6
Oggi ce n'è per tutti. Dopotutto i browser sono i software di gran lunga più utilizzati. ora basta ... tutti con lynx e niente internet ... si torna alle BBS
Keltosh02 Ottobre 2006, 18:03 #7
Beh, vero è che internet explorer è il più usato
vero è che è quindi il più studiato
però è anche programmato male evidentemente.

Non è possibile che continuino a esserci così tanti bug anche dopo così tanto tempo...
Da una società che si fa pagare profumatamente per il suo sistema operativo... le possibilità sono due per il browser:
o non lo mette
o ne mette uno decente

Mi spiego meglio, vero è che la microsoft non mi piace, ma non è questo il punto. Se io pago un sistema operativo, state pur certi che il browser lo pago. Non pensate che i costi di sviluppo di internet explorer non si riflettano sul costo totale di windos

Cioè, anche firefox ha dei bachi ma in genere non sono così gravi e con gli appositi plugin con un solo click si può disattivare tutti gli script di default per i tutti i siti.

Quindi firefox è un programma migliore E non lo pago. I difeti di firefox sono accettabili perchè non lo pago. Quelli di IE NO perchè io l'ho pagato. Che poi tanta gente pirati e consideri windws gratuito.. non fa testo. Questo è il motivo per cui spero TANTO in qualche cosa che debelli la pirateria. Così la gente o paga o passa a un sistema gratuito... tipo linux.
Ferdy7802 Ottobre 2006, 18:06 #8
beh anche ff ha le sue falline...sono messi bene entrambi
II ARROWS02 Ottobre 2006, 18:09 #9
Ma mi spiegate come cavolo si riesce a fare entrare "Linux" anche in un discorso come questo?
SuperSandro02 Ottobre 2006, 18:30 #10

Un piccolo aiuto

Non ricordo chi mi ha suggerito di installare questa piccola utility...
http://www.siteadvisor.com/
...progettata da McAfee (forse proprio HW Upgrade), ma penso che contribuisca a rendere più sicura la navigazione perché indica - per ogni sito visitato - la potenziale intrusione di vari oggetti (malware e activeX dovrebbero essere compresi).

Oppure non c'entra niente?
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^