Link alla notizia: http://www.hwupgrade.it/news/sicurezza/19146.html

Un controllo ActiveX vulnerabile e un exploit pubblico scoperto lo scorso venerdì stanno facendo alzare i livelli di allertra tra le società di sicurezza e Microsoft

Click sul link per visualizzare la notizia.

Che culo.

Io uso firefox ... Non mi affetta ;)

Del resto sono sempre stato scettico sull'effettiva utilità degli activeX, e questo bug stronca sul nascere la mia voglia di provare IE7 :(

Wow, una release fuori dal ciclo mensile e' cosa rara, non arriva alla
velocita' con cui hanno corretto la porpria piattaforma DRM (visto che
Secunia ha beccato questo bug venerdi' o sabato), ma comunque sarebbe
una gran bella mossa nei confronti degli utenti.....

Veramente ho installato questa mattina tramite Microsoft Update l'aggiornamento 925673 "MSXML 6.0 RTM Security Update" che patcha proprio una vulnerabilità del Microsoft XML Core Services.
Quindi MS non sta valutando se, ma ha già rilasciato la patch.

Veramente ho installato questa mattina tramite Microsoft Update l'aggiornamento 925673 "MSXML 6.0 RTM Security Update" che patcha proprio una vulnerabilità del Microsoft XML Core Services.
Quindi MS non sta valutando se, ma ha già rilasciato la patch.

Uh? Allora si son dimenticati di aggiornare la pagina dell'annuncio (http://www.microsoft.com/technet/security/advisory/927892.mspx),
che per ora mostra solo i workaround.
Cmq per una volta tanto complimenti alla MS, meno di una settimana
per fixare un baco critico.

gli activex sono veramente una fogna :( purtroppo ormai se li devono tenere sul groppone.

considerate che XMLHTTP viene utilizzato dalle pagine che usano AJAX :P

Un grave bug insomma, che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo

che diavolo centra Windows Vista con questo bug? :muro:

IE7 usa il proprio XML interno e NON questo controllo ActiveX vulnerabile.

Tool -> Internet Options -> Advanced -> Enable native XMLHTTP support (attivo di default!)

IE7 NON è vulnerabile.

Io uso firefox ... Non mi affetta ;)
Idem ;)

Passate a linux

Passate a linux hm, tu devi essere un esperto :read:

che diavolo centra Windows Vista con questo bug? :muro:

IE7 usa il proprio XML interno e NON questo controllo ActiveX vulnerabile.

Tool -> Internet Options -> Advanced -> Enable native XMLHTTP support (attivo di default!)

IE7 NON è vulnerabile.
rileggi bene la notizia:

...
Insomma, questa volta la colpa non è del noto browser Internet Explorer, sebbene sia esso il tramite per l'infezione del pc anche nell'ultima versione 7 da poco rilasciata. La colpa è di un errore nel Microsoft XML Core Services di Windows
...
Il dipartimento per la sicurezza nazionale americana (Department of Homeland Security) ha rilasciato un bollettino per avvisare della gravità della falla, che colpisce essenzialmente i sistemi operativi Microsoft 2000/XP/2003.
...
Un grave bug insomma che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo
Dove leggi che Vista è affetto da questo BUG???

Sapreste spiegarmi in due parole a cosa serve ActiveX?
Ho visto che nel firewall integrato nel mio router c'è la voce "Enable Restrict Web Feature: ActiveX" che suppongo li blocchi tutti indistintamente. Quali ripercussioni pratiche avrei se li bloccassi? Quali limitazioni incontrerei nel navigare, fare un download, aggiornare un software presente nel sistema, leggere la posta, un forum, partecipare ad un'asta, ecc..?
Grazie.

Dove leggi che Vista è affetto da questo BUG???

mi spieghi il significato di questa frase scritta nell'articolo?
"Un grave bug insomma, che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo"
Un grave bug il quale fa premere sempre di più l'acceleratore...
L'italiano è chiarissimo...
Quindi mi chiedo quale relazione ci sarebbe fra questo bug e col fatto che venga spinto l'acceleratore sul rilascio del nuovo sistema operativo Vista?? :muro:
La notizia è quindi errata, almeno in quest'ultima frase che ti ho fatto notare, perchè non centra niente!

Veramente ho installato questa mattina tramite Microsoft Update l'aggiornamento 925673 "MSXML 6.0 RTM Security Update" che patcha proprio una vulnerabilità del Microsoft XML Core Services.
Quindi MS non sta valutando se, ma ha già rilasciato la patch.

non è affatto detto che si tratti dello stesso bug, anche xché la news lo riporta per la vers. 4 di quella libreria, la patch da te scaricata è per la vers. 6 ;)
(la vers 3 è quella inclusa di default in xpsp2, le versioni successive non sovrascrivono le precedenti e tutte rimangono disponibili nel sistema allo stesso tempo, come librerie separate, per le applicazioni che fanno uso di ciascuna specifica versione)

considerate che XMLHTTP viene utilizzato dalle pagine che usano AJAX :P

(nella sfortuna) per fortuna msxml4.dll non è presente di default in winxpsp2

Uh? Allora si son dimenticati di aggiornare la pagina dell'annuncio (http://www.microsoft.com/technet/security/advisory/927892.mspx),
che per ora mostra solo i workaround.
Cmq per una volta tanto complimenti alla MS, meno di una settimana
per fixare un baco critico.potrebbe anche non essere così (vedi mio altro post)... :sofico:

ma (ricordando se non erro da altri thread che le tue simpatie vanno più verso animali polari come i "pinguini" anziché verso le "finestre")è sempre bello vedere commentare semplicemente in base al fatto specifico anziché prima di tutto in base alle proprie simpatie/antipatie generali :)

( ... tipo:Passate a linux :mbe: )

"Attualmente un utente, semplicemente navigando in un determinato sito web volutamente modificato, può rimanere infetto"

si intende, per esempio, che lo specifica applet activex fatta apposta per far danno (e incorporata in una pagina web, ovviamente) va a chiamare con parametri opportuni la routine buggata nella vers. 4 della libreria, se quest'ultima è presente sul sistema ?

(perché ie6 e predecessori sicuramente non usano di default tale versione ion quanto non presente di default nel sistema, si dice che ie7 ci rimane fregato come gli altri, ma azzarderi che di default per una xmlhttprequest se non usa routine "native" -suppongo inteso come funzioni facenti parte del codice specificamente parte di ie7-, usa l'ultima versione di msxml, la 6... quindi l'unico modo che mi viene in mente è quello rozzamente espresso sopra...)

grazie anticipatamente a chiunque per qualunque eventuale chiarimento/approfondimento :)

bravi bravi!!!ahah!!! solo uno dei tanti!!!

Uso Maxhon e per gli activex come per tante altre cose c'è un blocco, per un utonto ovviamente rappresenta un problema ma per il resto degli utenti suppongo non ci siano problemi.

mi spieghi il significato di questa frase scritta nell'articolo?
"Un grave bug insomma, che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo"
Un grave bug il quale fa premere sempre di più l'acceleratore...
L'italiano è chiarissimo...

Già... però tu non l'hai capito... lol
Se Microsoft rilascia Vista velocemente, questo Bug sarà un motivo in più per passare al nuovo sistema.
Se XP ha un bug grave, questo non rende ancora più importante il rilascio di Vista a breve?
E' questo il senso della frase, e ce ne vuole a travisare tutto!
Premere l'acceleratore significa accorciare i tempi del rilascio, non mettere pressione per la correzione degli errori...


La notizia è quindi errata, almeno in quest'ultima frase che ti ho fatto notare, perchè non centra niente!
Ma quale errata... anche se avesse avuto il senso che hai incredibilmente capito tu, sarebbe comunque stato un commento dell'autore, non certo qualcosa che ha a che fare con la veridicità della notizia...

ActiveX, se li conosci li eviti......Firefox è un mezzo per evitarli..... :)

:asd: guardate però CHE CHIAVE dicono di toccare...

dimenticavo: vendo 3 volpi di fuoco 2.0 che purtroppo sono da sopprimere. qualcuno le vuole? O.o :asd:

... ciclo mensile???

Ah, adesso capisco perchè alla MS ogni tanto danno i numeri... Hanno le "loro cose" ogni 28 giorni!!!!

Capisco, capisco... Speriamo arrivi presto per loro la menopausa...

Firefox a vita!!!

TIGER!! :-)

dimenticavo: vendo 3 volpi di fuoco 2.0 che purtroppo sono da sopprimere. qualcuno le vuole? O.o :asd:
Ho installato Firefox 2.0 stamattina provenendo dalla versione 1.5.0.7 .. in queste ore non mi ha dato problemi. Perche' dici che e' da sopprimere?

Ma porca la miseria!! Come cacchio programmano alla microsoft? Hanno programmatori o un branco di scimmiette che digitano codice a caso?
Da dopo agosto e' gia almeno il terzo exploit GRAVE che affligge la ciofeca di Internet Explorer.
Prima di agosto il sistemista di un'azienda in cui ero andato a fare un lavoro su una macchina linux, in una pausa caffe', mi aveva chiesto cosa ne pensavo di Firefox e Internet Explorer perche' aveva intenzione di passare a Firefox tutti i pc dell'azienda: io gli risposi che non aveva molto senso e nel caso di navigazione "normale" (ossia senza andare su siti russi di crack) Internet Explorer andava piu' che bene. Solo a pensarci adesso mi sto dando dell'imbecille per la risposta che gli ho dato!