PDA

View Full Version : Internet Explorer 9 - zero-day exploit


Redazione di Hardware Upg
18-09-2012, 10:21
Link alla notizia: http://www.hwfiles.it/news/internet-explorer-9-zero-day-exploit_43808.html

Microsoft conferma un ridotto numero di attacchi realizzati utilizzando una vulnerabilità zero-day exploit in Internet Explorer 9

Click sul link per visualizzare la notizia.

TheDarkMelon
18-09-2012, 10:30
cose che capitano, ripareranno presto..

pabloski
18-09-2012, 11:02
cose che capitano, ripareranno presto..

Capitano spesso sul versante ie :D

PhirePhil
18-09-2012, 11:05
sul post di McAfee dicono che affligge solo xpsp3 e ie8, per bypassare ALSR e DEP...
Non è che la falla è presente anche su ie9 ma su Vista e 7 non è sfruttabile?

Opossum27
18-09-2012, 11:13
sul post di McAfee dicono che affligge solo xpsp3 e ie8, per bypassare ALSR e DEP...
Non è che la falla è presente anche su ie9 ma su Vista e 7 non è sfruttabile?

quasi di sicuro lo è.

certo che il consiglio "da smanettone" fa parecchio riflettere sulla loro competenza.

Gurzo2007
18-09-2012, 11:25
quasi di sicuro lo è.

certo che il consiglio "da smanettone" fa parecchio riflettere sulla loro competenza.

come sulla tua....se stai iniziando ad indagare sulla falla la prima cosa che fai e dare agli utenti una prima soluzione temporanea...la prima da fare senza patch...

non è che le analisi le fai in 5 minuti, anzi serve tempo per non creare una falla ulteriore con una patch falla in fretta

Opossum27
18-09-2012, 11:28
come sulla tua....se stai iniziando ad indagare sulla falla la prima cosa che fai e dare agli utenti una prima soluzione temporanea...la prima da fare senza patch...

non è che le analisi le fai in 5 minuti, anzi serve tempo per non creare una falla ulteriore con una patch falla in fretta

loro hanno creato il browser, dovrebbero conoscerlo certamente meglio di me, quindi credo che possano fare molto di più che dire "mh, fai click qui, poi lì e poi lì, ma poi non vedi più nemmeno la pagina, ma è un pò più sicuro adesso, eh"... :asd:

io non programmo e non sono competente :asd: :asd: :asd:

shodan
18-09-2012, 11:35
sul post di McAfee dicono che affligge solo xpsp3 e ie8, per bypassare ALSR e DEP...
Non è che la falla è presente anche su ie9 ma su Vista e 7 non è sfruttabile?

Ciao,
nel security advisor di Microsoft, anche i sistemi Vista/W7 + IE9 sono considerati a rischio e, dato che non si fa cenno a ALSR/DEP, immagino che siano ininfluenti in questo caso:
http://technet.microsoft.com/en-us/security/advisory/2757760

quasi di sicuro lo è.

certo che il consiglio "da smanettone" fa parecchio riflettere sulla loro competenza.

E quindi? Cosa dovrebbero fare? C'è una vulnerabilità ActiveX/Active Script, chiaramente o alzi il livello di sicurezza imposto dal browser nell'esecuzione di tali tecnologie, o aspetti la patch...

E poi alzare il livello di sicurezza dell'area internet ad "high" non è che comporti quali disagi, eh... :rolleyes:

Ciao. :)

shodan
18-09-2012, 11:36
Capitano spesso sul versante ie :D

A dire il vero mi sembra che IE8/9 siano, a livello di vulnerabilità, più o meno sullo stesso livello di Mozilla Firefox, quindi buono ;)

Ciao. :)

SUPERALEX
18-09-2012, 12:01
loro hanno creato il browser, dovrebbero conoscerlo certamente meglio di me, quindi credo che possano fare molto di più che dire "mh, fai click qui, poi lì e poi lì, ma poi non vedi più nemmeno la pagina, ma è un pò più sicuro adesso, eh"... :asd:

io non programmo e non sono competente :asd: :asd: :asd:

non hai idea di quanto sia difficile gestire software nn certo da 4 soldi...e dietro ci lavorano decine se nn centinaia di persone...nn è che arriva il primo pirla e dice ah già bisogna modificare quella linea....sul fatto poi che ie sia più fragile degli altri è tutto da vedere.,..in passato era così ora nn più...solo che essendo closed source è molto più difficile trovare le vulnerabilità....senza contare che gli hacker si concentrano su ie perchè l'utente medio usa quello dato che è integrato in windows...e l'utente medio è più facile da raggirare

Opossum27
18-09-2012, 12:11
solo che essendo closed source è molto più difficile trovare le vulnerabilità

ma anche apportare modifiche "artigianali" (plugin di firefox, certi sono essenziali)

senza contare che gli hacker si concentrano su ie perchè l'utente medio usa quello dato che è integrato in windows...e l'utente medio è più facile da raggirare

PEBKAC!

carlo2002
18-09-2012, 12:21
non hai idea di quanto sia difficile gestire software nn certo da 4 soldi...e dietro ci lavorano decine se nn centinaia di persone...nn è che arriva il primo pirla e dice ah già bisogna modificare quella linea....sul fatto poi che ie sia più fragile degli altri è tutto da vedere.,..in passato era così ora nn più...solo che essendo closed source è molto più difficile trovare le vulnerabilità....senza contare che gli hacker si concentrano su ie perchè l'utente medio usa quello dato che è integrato in windows...e l'utente medio è più facile da raggirare

forse non solo perchè è più usato dall'utente medio, ma come anche dici tu perchè essendo closed source è più difficile aggiustarne le vulnerabilità.

Se io fossi un cracker e dovessi sfruttare una vulnerabilità di un browser penso che sarei attratto maggiormente da uno più complesso da riparare, il mio exploit avrebbe vita più lunga.

WarDuck
18-09-2012, 12:32
quasi di sicuro lo è.

certo che il consiglio "da smanettone" fa parecchio riflettere sulla loro competenza.

Tanto per la cronaca, hai mai sviluppato software?

WarDuck
18-09-2012, 12:33
cose che capitano, ripareranno presto..

Non potevi mancare vero? E' più forte di te... :rolleyes:

SUPERALEX
18-09-2012, 13:09
forse non solo perchè è più usato dall'utente medio, ma come anche dici tu perchè essendo closed source è più difficile aggiustarne le vulnerabilità.

Se io fossi un cracker e dovessi sfruttare una vulnerabilità di un browser penso che sarei attratto maggiormente da uno più complesso da riparare, il mio exploit avrebbe vita più lunga.

chiaro....però oltre a questo motivo guardi al bacino di utenza....x questo la legge della natura è sempre valida: la diversità fa sopravvivere...quando ci si uniforma si è molto più vulnerabili:D

nickmot
18-09-2012, 14:05
cose che capitano, ripareranno ricapiteranno presto..
Fixed.

Su dovella non prendertela, devi solo attendere un mese per il prossimo patch day.

manowar84
18-09-2012, 14:11
Povero dovella, tutti con lui ce l'hanno :(

hexaae
18-09-2012, 14:57
Capitano spesso sul versante ie :D

Non direi. Guardati anche su Secunia il numero di falle riportate dai vari browser... e guarda che anche gli altri ne hanno tante (anche di più), ma IE fa tanto notizia! ;)

http://secunia.com/resources/factsheets/2011_browsers/
...e per dire, in FFox tanto per fare un esempio ce ne sono puntualmente parecchie di falle critiche: http://www.mozilla.org/security/known-vulnerabilities/firefox.html che nessuno conosce o strombazza ai quattro venti! ;)

A dire il vero mi sembra che IE8/9 siano, a livello di vulnerabilità, più o meno sullo stesso livello di Mozilla Firefox, quindi buono ;)

Ciao. :)

Non scherziamo. FFox è molto meno sicuro perché non ha una modalità protetta e gira tutto con diritti user. Chrome e IE9 (con UAC attivo) no.


Sottolineo cmq un particolare che è sfuggito come sempre a tutti quando (non) leggono correttamente i bollettini MS e subito sparano a 0 contro IE9+UAC+modalità protetta:

Mitigating Factors:
- By default, Internet Explorer on Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2 runs in a restricted mode that is known as Enhanced Security Configuration. This mode mitigates this vulnerability.
-By default, all supported versions of Microsoft Outlook, Microsoft Outlook Express, and Windows Mail open HTML email messages in the Restricted sites zone. The Restricted sites zone, which disables script and ActiveX controls, helps reduce the risk of an attacker being able to use this vulnerability to execute malicious code. If a user clicks a link in an email message, the user could still be vulnerable to exploitation of this vulnerability through the web-based attack scenario.
-An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.


Tradotto in breve significa che per IE9 con UAC + modalità protetta questo 0 day è quasi solo fuffa.

shodan
18-09-2012, 17:03
Non scherziamo. FFox è molto meno sicuro perché non ha una modalità protetta e gira tutto con diritti user. Chrome e IE9 (con UAC attivo) no.

Lo so :)

La mia era una stima spannometrica sul numero di vulnerabilità rilevate, non sulla loro gravità / rilevanza. Qualche mese fa, vedendo su Secunia, i numeri erano paragonabili, di conseguenza non ha molto senso "prendere in giro" IE e non gli altri browser ;)

Ciao.

Krusty93
18-09-2012, 21:18
non hai idea di quanto sia difficile gestire software nn certo da 4 soldi...e dietro ci lavorano decine se nn centinaia di persone...nn è che arriva il primo pirla e dice ah già bisogna modificare quella linea....sul fatto poi che ie sia più fragile degli altri è tutto da vedere.,..in passato era così ora nn più...solo che essendo closed source è molto più difficile trovare le vulnerabilità....senza contare che gli hacker si concentrano su ie perchè l'utente medio usa quello dato che è integrato in windows...e l'utente medio è più facile da raggirare

Insomma. Proprio in questi giorni ne sto sentendo delle belle. Va bene che IE ha ancora lo share più alto, ma imho in ambito home ha perso tantissimo.
Alla fine ogni pc che tocco, ha su Chrome. La gente qualsiasi cosa installi (Avast per esempio) se lo trova dentro perchè non è in grado di leggere e togliere una spunta durante l'installazione e quando fa per aprire il broswer non si accorge nemmeno della differenza rispetto a IE (una di queste persone è mia madre, che poi magari si lamenta che non trova i preferiti :mc: ).

Per non parlare delle mille mila toolbar che occupano più pixel del sito stesso :asd:

ArteTetra
18-09-2012, 21:27
Povero dovella, tutti con lui ce l'hanno :(

Non potevi mancare vero? E' più forte di te... :rolleyes:

Non ho ancora capito una cosa, viene pagato o lo fa per vocazione? :asd:

PyЯamid Head
18-09-2012, 21:34
Non potevi mancare vero? E' più forte di te... :rolleyes:

xD

shodan
19-09-2012, 09:55
Tradotto in breve significa che per IE9 con UAC + modalità protetta questo 0 day è quasi solo fuffa.

Sicuramente l'UAC mitiga parecchio la pericolosità del bug, però quando si parla di "remote code execution" bisogna sempre andarci con i piedi di piombo.

Non a caso è notizia di oggi che MS rilascerà in fretta la patch di correzione.

Comunque ripeto: IE9 è un browser piuttosto sicuro, cose del genere capitano anche agli altri. ;)

Ciao. :)

hexaae
19-09-2012, 14:52
Sicuramente l'UAC mitiga parecchio la pericolosità del bug, però quando si parla di "remote code execution" bisogna sempre andarci con i piedi di piombo.

Beh, quando il codice remoto è eseguito con privilegi più bassi di quelli dell'utente collegato, come avviene in modalità protetta per IE9 o con Chrome, puoi stare abbastanza tranquillo...

The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer.
http://technet.microsoft.com/en-us/security/advisory/2757760


Prendi un FFox o Opera invece: non hanno ancora uno straccio di mp, e se incontrano una falla 0-day o cmq non ancora conosciuta è ben più rischioso senza la prevenzione della sandbox come si ha su IE9 o Chrome.

Il problema è che la maggior parte dell'utenza o di quelli che riportano la notizia:
1. non conosce i tecnicismi della MP e dell'UAC
2. non sa di conseguenza interpretare bene i bollettini MS e quando legge che la falla è segnalata anche su Win7 con IE9, ignorando il punto 1, si allarma e subito va in giro a strombazzare allo scandalo. I "Mitigating factors" nemmeno li legge o ancora una volta semplicemente non li capisce...

Ripeto ancora una volta che ad es. FFox (ma anche Chrome se andate sul sito di Google dove vengono tracciati i bug/falle) ad ogni release puntualmente ha diverse (non 2 l'hanno) falle CRITICHE, come si può leggere su http://www.mozilla.org/security/known-vulnerabilities/firefox.html
Se chiedi però ad un utente FFox «ma è vero che per FFox 15 che stai usando hanno già segnalato 7 vulnerabilità critiche (magari anche patchate nel frattempo, ma c'erano anche quando non lo sapevi/vano e ce ne sono sempre altre finché non si conoscono, per questo è meglio un'azione preventiva come la filosofia del sandboxing...)?» lui ti guarderà allibito e ti dirà "Ovvio che no! FFox è tra i browser più sicuri se non il più sicuro al mondo!", anche se sul sito ufficiale la realtà è quella...
Se gli chiedi invece di IE ti sa dire data e ora di uscita dell'ultima falla scoperta.
Il problema è che IE9 fa subito notizia e ci sono i pregiudizi, gli altri sono più furbi e non reclamizzano di certo le proprie vulnerabilità ma anzi si fanno pubblicità in senso opposto....