Link alla notizia: http://www.hwupgrade.it/news/sicurezza/microsoft-internet-explorer-rilevato-un-problema-di-sicurezza_27489.html

A poche ore dalla distribuzione mensile degli aggiornamenti Microsoft è stato rilevato un importante problema di sicurezza relativo a Internet Explorer già sfruttato in alcuni attacchi


Click sul link per visualizzare la notizia.

Workaround completi in attesa della patch:

http://blogs.technet.com/feliciano_intini/archive/2008/12/13/security-advisory-961051-su-internet-explorer-nuovi-workaround.aspx

http://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx#workarounds

http://www.pcalsicuro.com/main/2008/12/internet-explorer-7-under-0day-attack/

altrimenti usate Firefox 3 o Opera e non usate piu' IE e siete apposto molto meglio in generale nn solo per questa vulnerabilita' specialmente se usate XP e state in rete loggati con account administrator :rolleyes:

embe? dov'è la notizia? :asd: :)

E quando mai...tra l'altro è presente su TUTTE le versioni di Internet Explorer...
speriamo almeno che la soluzione di tale problema venga inserita nel service pack 2 di Win Vista...
Menomale che ce Firefox ( non che sia perfettamente sicuro ma almeno...)

E quando mai...tra l'altro è presente su TUTTE le versioni di Internet Explorer...
speriamo almeno che la soluzione di tale problema venga inserita nel service pack 2 di Win Vista...
Menomale che ce Firefox ( non che sia perfettamente sicuro ma almeno...)entro pochi giorni esce la patch per IE da Servizio Aggiornamenti Automatici (Win Update)

Un eventuale exploit puo comunque fare ben pochi danni su Vista con UAC attivato e Internet Explorer 7 in modalità protetta, in quanto il codice verrebbe eseguito con i privilegi di utente normale e grazie agli Integrity Level (http://aovestdipaperino.com/posts/vista-e-gli-integrity-level.aspx) non puo accedere ai dati dell'utente che si trovano nelle sue cartelle personali.

Ma solo a me explorer ha cominciato a bloccarsi spessissimo? Capita sia a casa che a lavoro (vista 64 e vista 32)
Sono passato a chrome, niente male direi, e se sto scaricando altre cose è anche molto più veloce

falla trovata basta risolverla in fretta adesso che è nota...non vedo il problema...

non è che Firefox sia tutta questa bomba ... a me spessisimo occupa 150-200 mb con 1-2 paginette aperte ...
altro che memory lack risolto ... :fagiano:

ad ogni modo io fossi in Microsoft ci fare un thriller a puntate su Explorer , solo che durerebbe un'eternità :O

A me sinceramnte occupa 70mb con hwupgrade e tomshw aperti...mah...

Un eventuale exploit puo comunque fare ben pochi danni su Vista con UAC attivato e Internet Explorer 7 in modalità protetta, in quanto il codice verrebbe eseguito con i privilegi di utente normale e grazie agli Integrity Level (http://aovestdipaperino.com/posts/vista-e-gli-integrity-level.aspx) non puo accedere ai dati dell'utente che si trovano nelle sue cartelle personali.

Se non erro il Low integrity mode di default ha 2 policy su 3 attive, NoExecute, NoWrite, però può accedere ai dati in lettura (c'è la policy NoRead ma di default non è attiva), per ovviare si può pensare di fare 2 cose:

a) avviare il programma con altre credenziali, quindi con un altro utente creato ad-hoc che per struttura delle ACLs non può accedere alle cartelle personali di un altro utente (consigliato per queste app che vanno su internet).

b) modificare l'eseguibile affinché il low mode abbia attivo anche la policy NoRead (con questo tool: http://www.minasi.com/vista/chml.htm )

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.

Afferma anche che per aggirare questa limitazione si può pensare di fare ad esempio:

runas /user:web.browser "cmd /c start "\C:\Program Files\...\""

Però non funge sul SO che ho nella Virtualbox.

La prima soluzione funziona ed è testata soprattutto con altri browser tipo Firefox ;) ed è consigliabile per le applicazioni sensibili che devono andare su internet.

Unite la prima soluzione al blocco degli eseguibili per IE e FF per il vostro utente di default e renderete il sistema più sicuro senza bisogno di ulteriori accorgimenti.

non è che Firefox sia tutta questa bomba ... a me spessisimo occupa 150-200 mb con 1-2 paginette aperte ...
altro che memory lack risolto ... :fagiano:

ad ogni modo io fossi in Microsoft ci fare un thriller a puntate su Explorer , solo che durerebbe un'eternità :O
anche se fosse non vedo qual'è il problema...non venite a dirmi che oggi c'è qualcuno che ha meno di 1GB di ram sul pc...in ogni caso naviga lo stesso...poi bisogna vedere quanto flash sta su quelle pagine...e anche in questo caso non vedo qual'è il problema soprattutto se i siti visitati hanno come target l'intrattenimento...dipende piuttosto dal target delle vostre visite...altrimenti visitate dei semplicissimi blog e non vi occupa nulla...tutto qua :asd:

Ma c'è ancora qualcuno, che usa IE? :stordita:

Ma c'è ancora qualcuno, che usa IE? :stordita:

E c'è qualcuno che fa queste domande senza sapere le percentuali di diffusione dei browser? :asd:

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.
Interessante, non sapevo questa cosa. Comunque non dovrebbe essere un problema, anche se gira a livello Medium con un altro utente non puo accedere in ogni caso ai propri dati, in teoria.

Ma c'è ancora qualcuno, che usa IE? :stordita:
Io :cool:

Se non erro il Low integrity mode di default ha 2 policy su 3 attive, NoExecute, NoWrite, però può accedere ai dati in lettura (c'è la policy NoRead ma di default non è attiva), per ovviare si può pensare di fare 2 cose:

a) avviare il programma con altre credenziali, quindi con un altro utente creato ad-hoc che per struttura delle ACLs non può accedere alle cartelle personali di un altro utente (consigliato per queste app che vanno su internet).

b) modificare l'eseguibile affinché il low mode abbia attivo anche la policy NoRead (con questo tool: http://www.minasi.com/vista/chml.htm )

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.

Afferma anche che per aggirare questa limitazione si può pensare di fare ad esempio:

runas /user:web.browser "cmd /c start "\C:\Program Files\...\""

Però non funge sul SO che ho nella Virtualbox.

La prima soluzione funziona ed è testata soprattutto con altri browser tipo Firefox ;) ed è consigliabile per le applicazioni sensibili che devono andare su internet.

Unite la prima soluzione al blocco degli eseguibili per IE e FF per il vostro utente di default e renderete il sistema più sicuro senza bisogno di ulteriori accorgimenti.WarDuk pero' tu purtroppo dimentichi sempre che il mercato ha un circa 20% di Vista ed un circa 69% di chi usa ancora XP nel mondo

quindi su XP io bandirei IE al volo per Firefox 3 o Opera..e nn solo per la vulnerabilita' evidenziata in questo thread ma per gli Active X Jscript e Vbscript malware che gli hacker creano appestando i siti Web in giro ( per colpire IE) ed a cui Firefox e Opera non rispondono

usate opera!

embe? dov'è la notizia? :asd: :)
Appunto, non è mica una novità.:)

WarDuk pero' tu purtroppo dimentichi sempre che il mercato ha un circa 20% di Vista ed un circa 69% di chi usa ancora XP nel mondo

quindi su XP io bandirei IE al volo per Firefox 3 o Opera..e nn solo per la vulnerabilita' evidenziata in questo thread ma per gli Active X Jscript e Vbscript malware che gli hacker creano appestando i siti Web in giro ( per colpire IE) ed a cui Firefox e Opera non rispondono

Hai ragione. Sul fatto che XP di default sia meno sicuro di Vista, c'è ben poco da obiettare, ma un XP ben configurato cmq non sfigura, anche se è un po' più "rognoso" da usare con account user per la mancanza di UAC.

Aggiungiamo cmq che la stessa cosa che ho proposto si può fare anche su XP, ovvero lanciare il browser tramite RunAs come altro utente, che non può accedere alle cartelle del proprio account.

Cioè mettiamo che voi abbiate questi account:

PincoPallino - principale
web.user - come dice il nome per avviare il browser

Fate questa prova, create un file .html nella cartella Documenti di PincoPallino, avviate browser come web.user, digitate il percorso del file html nella cartella Documenti del vostro account principale, il browser vi dirà che non è possibile visualizzare la pagina ;).

Il primo suggerimento degli esperti riguarda l'utilizzo della tecnologia DEP (Data Execution Prevention) che sulle versioni a 32 bit di Microsoft Windows Vista non controlla Internet Explorer. Per attivare il DEP sul processo di Internet Exploorer nella versione a 32 bit di Vista è necessario eseguire Internet Explorer come amministratore, andare dunque su Strumenti - Opzioni Internet - Avanzate - Attiva la protezione della memoria per contrastare gli attacchi da Internet.

Io posseggo vista 32 bit e non riesco ad attivare l'opzione essndo di colore biancastro. Che faccio?

Io posseggo vista 32 bit e non riesco ad attivare l'opzione essndo di colore biancastro. Che faccio?

Hai seguito bene la procedura? Il browser va avviato con diritti di Amministratore, cliccando col tasto destro del link e facendo "Esegui come Amministratore..." a quel punto UAC ti chiede la conferma e avvii...

hai ragione non ho letto bene. Rimedio subito :)

Grazie mille :)

Edit= Come si fa a par partire ie con diritti di amministratore?Non ci riesco :(

hai ragione non ho letto bene. Rimedio subito :)

Grazie mille :)

Edit= Come si fa a par partire ie con diritti di amministratore?Non ci riesco :(

clicca col tasto destro sulla "E" e clicchi su Esegui come Amministratore.

si l'ho fatto ma le opzioni che ci sono sono:

Apri Home Page

Avvia senza contenuti aggiuntivi

Crea collegamento

Elimina Rinomina

Proprietà

La voce "Esegui come Amministratore" non c'è.

si l'ho fatto ma le opzioni che ci sono sono:

Apri Home Page

Avvia senza contenuti aggiuntivi

Crea collegamento

Elimina Rinomina

Proprietà

La voce "Esegui come Amministratore" non c'è.

scusa ma lo fai dal menù start/explorer? o anche dai collegamenti rapidi nella barra in basso, oppure se hai un link sul desktop. Poi a mali estremi vai in c:\windows\programmi\internet explorer e segui la procedura descritta sopra su iexplore

ok ho fatto come hai detto e ci sono riuscito :)

grazie :)

E c'è qualcuno che fa queste domande senza sapere le percentuali di diffusione dei browser? :asd:

:asd: Bella forza, IE è preinstallato su windows... che sia diffuso mi sembra quantomeno il minimo...













...quanto ad usarlo...:stordita:

:asd: Bella forza, IE è preinstallato su windows... che sia diffuso mi sembra quantomeno il minimo...













...quanto ad usarlo...:stordita:

Guarda che le statistiche di utilizzo sono cosa diversa da quelle di diffusione... Altrimenti si diceva che tutti quelli che usano WIndows utilizzano IE... Il che non è affatto vero.

Guarda che le statistiche di utilizzo sono cosa diversa da quelle di diffusione... Altrimenti si diceva che tutti quelli che usano WIndows utilizzano IE... Il che non è affatto vero.

Secondo te che browser userà un utente medio che compra un computer preassemblato al supermercato?

Imho quello che ci sarà già preinstallato sul SO, IE nel caso di windows.
Così come userà Windows media player per riprodurre mp3 o divx.

Mi pare una cosa abbastanza ovvia ;)
Chissà cosa succederebbe se ad essere preinstallato fosse Firefox...o Opera :stordita:


Oltretutto

E c'è qualcuno che fa queste domande senza sapere le percentuali di diffusione dei browser? :asd:

Qui io leggo "diffusione", non "utilizzo" :)

Senza nulla togliere alla bontà di FFox ma guardate che non è questo paradiso inviolabile ;) e ad ogni nuova versione, come per tutti gli altri browser, vengono fuori falle CRITICAL: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Quindi la gente non pensi ingenuamente: «...ah, uso FFox e non IE7 quindi sono tranquillo al 100% quando giro in rete...»

Per quanto riguarda IE7 di buono tra tanti difetti ha appunto la 'Modalità protetta', invidiata da tutti compreso FFox ( https://wiki.mozilla.org/Mozilla_2/Protected_mode ) e la funzione DEP built-in che lo rendono di default un browser anche più sicuro del piccolo panda rosso.

Senza nulla togliere alla bontà di FFox ma guardate che non è questo paradiso inviolabile ;) e ad ogni nuova versione, come per tutti gli altri browser, vengono fuori falle CRITICAL: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Quindi la gente non pensi ingenuamente: «...ah, uso FFox e non IE7 quindi sono tranquillo al 100% quando giro in rete...»

Per quanto riguarda IE7 di buono tra tanti difetti ha appunto la 'Modalità protetta', invidiata da tutti compreso FFox ( https://wiki.mozilla.org/Mozilla_2/Protected_mode ) e la funzione DEP built-in che lo rendono di default un browser anche più sicuro del piccolo panda rosso.

sul default non so, ma con un uso coscenzioso di FF (adblock plus + noscript) la sicurezza di firefox è parecchio migliore imho

Direi proprio di no. È come dire che usare un buon AV che riconosce più virus è più sicuro che usare login con privilegi ridotti... che è falso.
La 'Modalità protetta' + DEP (anti buffer overflow) rendono IE7 più sicuro e per IE7 per gli AD esiste IE7Pro (plugin fondamentale per tale browser) e gli script puoi disabilitarli anche su IE7 (Strumenti>Opzioni Internet...).
Ti ripeto infatti che la Modalità protetta è invidiata anche da quelli di Mozilla, come i link che sopra ti ho presentato dimostrano...

Detto questo FFox è un ottimo browser e riceve frequenti update per cui le falle vengono spesso corrette velocemente, ma la Modalità protetta di IE7 protegge a prescindere dallo specifico bug... è nel suo design la maggior sicurezza.

ci sono decine di migliaia di siti web legittimi infettati per veicolare l'exploit....ovviamente si tratta di macchine windows server, chissà come mai :D

Senza nulla togliere alla bontà di FFox ma guardate che non è questo paradiso inviolabile ;) e ad ogni nuova versione, come per tutti gli altri browser, vengono fuori falle CRITICAL: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Quindi la gente non pensi ingenuamente: «...ah, uso FFox e non IE7 quindi sono tranquillo al 100% quando giro in rete...»

Per quanto riguarda IE7 di buono tra tanti difetti ha appunto la 'Modalità protetta', invidiata da tutti compreso FFox ( https://wiki.mozilla.org/Mozilla_2/Protected_mode ) e la funzione DEP built-in che lo rendono di default un browser anche più sicuro del piccolo panda rosso.

Direi proprio di no. È come dire che usare un buon AV che riconosce più virus è più sicuro che usare login con privilegi ridotti... che è falso.
La 'Modalità protetta' + DEP (anti buffer overflow) rendono IE7 più sicuro e per IE7 per gli AD esiste IE7Pro (plugin fondamentale per tale browser) e gli script puoi disabilitarli anche su IE7 (Strumenti>Opzioni Internet...).
Ti ripeto infatti che la Modalità protetta è invidiata anche da quelli di Mozilla, come i link che sopra ti ho presentato dimostrano...

Detto questo FFox è un ottimo browser e riceve frequenti update per cui le falle vengono spesso corrette velocemente, ma la Modalità protetta di IE7 protegge a prescindere dallo specifico bug... è nel suo design la maggior sicurezza.
se noti l'installazione di malware solo navigando su siti Web avviene tramite Active X autoinstallati per chi e' loggato come admin su windows XP.Usando Firefox cio' non avviene poiche' lo stesso FF non riconosce ed interpreta gli Active X.Se poi noti ancora il codice dannoso che il 95% dei siti web usa per remotare il browser e' Vbscript a cui solo IE e' indirizzato

I browser alternativi come Firefox e Opera possono avere vulnerabilita' certamente ( come tutto del resto) ma in questo caso verrebbero sfruttate navigando su opportuni siti web preparati dall'Hacker e solo per remotare il browser e farlo fungere come una sorta di trojan , non per installare malware sul sistema come avviene con IE e gli Active X

sul default non so, ma con un uso coscenzioso di FF (adblock plus + noscript) la sicurezza di firefox è parecchio migliore imho

Tralasciando per un attimo ActiveX, di default è così solo se sei coscenzioso e hai un software HIPS che si basa sul comportamento.

Nulla impedisce ad uno script di aprire firefox (ma potrei usare qualsiasi altro browser) mandando informazioni sensibili attraverso il firewall tradizionale che di solito è stato autorizzato per la comunicazione con il browser.

Discorso diverso se non ho un software HIPS ma uso firefox tramite un'altro account, poiché come dicevo prima i dati sono salvaguardati in ogni caso.

@Eramian: hai ragione su ActiveX, se fossi in MS farei un bel cambio di rotta verso ad esempio la disabilitazione di default, anche se cmq ci sono stati passi in avanti con il blocco e la richiesta per installare ActiveX, il punto è che l'utente occasionale clicca sempre ovunque e fa danni. Il problema è anche che molti plugin tipo Flash sono installati come ActiveX.

Tempo fa mio padre s'è scaricato "www.google.it" (ovvero Gromozon) tramite Firefox ;) segno che bisogna anche sapersi muovere sul web.

Edit: per la cronaca Chrome di Google ha la modalità protetta.

ci sono decine di migliaia di siti web legittimi infettati per veicolare l'exploit....ovviamente si tratta di macchine windows server, chissà come mai :D

si si credici,

Tralasciando per un attimo ActiveX, di default è così solo se sei coscenzioso e hai un software HIPS che si basa sul comportamento.

Nulla impedisce ad uno script di aprire firefox (ma potrei usare qualsiasi altro browser) mandando informazioni sensibili attraverso il firewall tradizionale che di solito è stato autorizzato per la comunicazione con il browser.

Discorso diverso se non ho un software HIPS ma uso firefox tramite un'altro account, poiché come dicevo prima i dati sono salvaguardati in ogni caso.

@Eramian: hai ragione su ActiveX, se fossi in MS farei un bel cambio di rotta verso ad esempio la disabilitazione di default, anche se cmq ci sono stati passi in avanti con il blocco e la richiesta per installare ActiveX, il punto è che l'utente occasionale clicca sempre ovunque e fa danni. Il problema è anche che molti plugin tipo Flash sono installati come ActiveX.

Tempo fa mio padre s'è scaricato "www.google.it" (ovvero Gromozon) tramite Firefox ;) segno che bisogna anche sapersi muovere sul web.

Edit: per la cronaca Chrome di Google ha la modalità protetta.

diciamo che il non riconoscimento di activeX gioca un ruolo importante nel considerare ff + sicuro di ie7 (imho ovviamente) poi come ho detto prima ritengo fondamentale la presenza di noscript per un'abilitazione selettiva di flash e script e adblock plus per la pubblicità.

per la sicurezza mi baso principalmente su un'architettura bastion host con firewall software (iptables) un ids ancora non l'ho messo ma ci stò seriamente pensando appena non ho tempo anche se non penso di installare un HIPS in quanto voglio delegare la gestione della sicurezza al BH

Tempo fa mio padre s'è scaricato "www.google.it" (ovvero Gromozon) tramite Firefox ;) segno che bisogna anche sapersi muovere sul web.

Io ho visto in giro pure www.google.com, così il file era direttamente eseguibile :asd: ...

http://blogs.zdnet.com/security/?p=2304

Anche firefox ha avuto i suoi bei buchi, nonchè lo stesso Safari/Chrome:

http://www.info-svc.com/news/2008/12-12/

nuova falla 0-day anche per Firefox 3.0.4:
https://bugzilla.mozilla.org/attachment.cgi?id=302699

enjoy :D

Io ho visto in giro pure www.google.com, così il file era direttamente eseguibile :asd: ...

Hai ragione forse era proprio quello :asd:

IE7 rimane comunque un browser integrato nel sistema, quindi è e rimarrà sempre il meno sicuro. Se sei fatto di sabbia, puoi imbottirti (appesantirti!) il corpo di spugna quanto vuoi, prima o poi il colpo lo accuserai comunque.

passate alla volpe di fuoco!!

IE7 rimane comunque un browser integrato nel sistema, quindi è e rimarrà sempre il meno sicuro. Se sei fatto di sabbia, puoi imbottirti (appesantirti!) il corpo di spugna quanto vuoi, prima o poi il colpo lo accuserai comunque.

Discorso molto tecnico, non c'è che dire...

nuova falla 0-day anche per Firefox 3.0.4:
https://bugzilla.mozilla.org/attachment.cgi?id=302699

enjoy :D

Già corretto con Firefox 3.0.5 ;)