c.m.g
06-08-2007, 10:19
notizia del 03/08/2007
Non è colpa né di Firefox né di Internet Explorer. Il problema di sicurezza che tanto sta facendo discutere in questi giorni si trova ancora più in basso, a livello di sistema operativo.
A quanto pare il problema di sicurezza (http://www.megalab.it/news.php?id=1697) che potrebbe consentire ad un cracker di prendere pieno controllo di un sistema bersaglio utilizzando Internet Explorer oppure Firefox (http://www.megalab.it/news.php?id=1717) come vettore di attacco non sarebbe specificatamente colpa di nessuno dei due.
Stando a quanto scoperto dall'autorevole US-CERT (http://www.kb.cert.org/vuls/id/403150) la falla sarebbe ad un livello più basso, ed in particolare nella funzione ShellExecute() esposta da Windows stesso ed utilizzata da un processo già attivo per mandare in esecuzione un programma esterno.
Ecco quindi che qualunque tipo di software che si appoggi al sistema operativo per stabilire quale applicazione utilizzare per gestire un certo protocollo può essere potenzialmente pericolosa, e consentire l'esecuzione di codice da remoto.
Al momento il team di specialisti del governo americano ammette di non essere a conoscenza di alcuna soluzione pratica per arginare il problema alla radice. In attesa di una patch Microsoft che corregga la debolezza a livello di sistema operativo, Mozilla ha rilasciato la versione 2.0.0.6 di Firefox (http://www.megalab.it/news.php?id=1717) che risolve il problema, utilizzando una nuova serie di funzioni proprie per aggirare il baco.
Fonte: Megalab.it (http://www.megalab.it/news.php?id=1724)
Non è colpa né di Firefox né di Internet Explorer. Il problema di sicurezza che tanto sta facendo discutere in questi giorni si trova ancora più in basso, a livello di sistema operativo.
A quanto pare il problema di sicurezza (http://www.megalab.it/news.php?id=1697) che potrebbe consentire ad un cracker di prendere pieno controllo di un sistema bersaglio utilizzando Internet Explorer oppure Firefox (http://www.megalab.it/news.php?id=1717) come vettore di attacco non sarebbe specificatamente colpa di nessuno dei due.
Stando a quanto scoperto dall'autorevole US-CERT (http://www.kb.cert.org/vuls/id/403150) la falla sarebbe ad un livello più basso, ed in particolare nella funzione ShellExecute() esposta da Windows stesso ed utilizzata da un processo già attivo per mandare in esecuzione un programma esterno.
Ecco quindi che qualunque tipo di software che si appoggi al sistema operativo per stabilire quale applicazione utilizzare per gestire un certo protocollo può essere potenzialmente pericolosa, e consentire l'esecuzione di codice da remoto.
Al momento il team di specialisti del governo americano ammette di non essere a conoscenza di alcuna soluzione pratica per arginare il problema alla radice. In attesa di una patch Microsoft che corregga la debolezza a livello di sistema operativo, Mozilla ha rilasciato la versione 2.0.0.6 di Firefox (http://www.megalab.it/news.php?id=1717) che risolve il problema, utilizzando una nuova serie di funzioni proprie per aggirare il baco.
Fonte: Megalab.it (http://www.megalab.it/news.php?id=1724)