c.m.g
25-06-2015, 08:40
giovedì 25 giugno 2015
Hewlett-Packard rilascia un exploit per un baco presente in Internet Explorer, un problema che Microsoft si rifiuta di risolvere. Adobe è invece impegnata a distribuire l'ennesima patch correttiva per Flash Player
Roma - Guerra di policy e disclosure di informazioni su bachi e vulnerabilità di sicurezza tra Microsoft e Hewlett-Packard, con quest'ultima che ha deciso di distribuire (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/There-and-back-again-a-journey-through-bounty-award-and/ba-p/6756465#.VYrHMaIauDn) il codice proof-of-concept in grado di sfruttare un pericoloso bug presente nel browser Internet Explorer.
La vulnerabilità è ben nota a Microsoft, al punto da aver fatto guadagnare ai ricercatori HP una "taglia" da ben 125mila dollari poi donati in beneficenza, e permette a un malintenzionato di bypassare la tecnologia Address Space Layout Randomization (ASLR) per compromettere il sistema.
La falla mette a rischio solo i sistemi operativi a 32-bit, una "variante" di Windows che ancora anima milioni di PC nonostante le CPU x86 a 64-bit siano la stragrande maggioranza dell'offerta di mercato. Microsoft, invece, non è d'accordo sulla dimensione del rischio e non ha a quanto pare intenzione di distribuire una patch correttiva.
I ricercatori di HP si dicono in ogni caso in disaccordo con la decisione di Redmond, e hanno preferito rilasciare l'exploit funzionante su Windows 7/8.1 permettendo alla community di comprendere appieno la minaccia e tutti i dettagli tecnici del caso.
La disclosure di HP avviene nel pieno rispetto della policy aziendale in materia, dicono i ricercatori (http://www.zdnet.com/article/exploit-code-released-for-unpatched-flaw-in-internet-explorer/), e non è certo questo il primo caso in cui un'azienda esterna si trova in contrasto (http://punto-informatico.it/4215912/PI/News/google-guerra-delle-vulnerabilita.aspx) con le pratiche di sicurezza adottate da Microsoft per il suo ecosistema software su PC.Chi invece sembra aver fatto passi avanti sul fronte dei bugfix è Adobe, società che oramai dispensa con una certa regolarità (http://www.theregister.co.uk/2015/06/23/adobe_flash_player/) patch correttive per le vulnerabilità individuate nel solito Flash Player: l'ultimo bollettino di sicurezza (http://blogs.adobe.com/psirt/?p=1210) distribuito dalla software house corregge una vulnerabilità critica (CVE-2015-3113) in Flash scoperta da FireEye e potenzialmente sfruttabile per prendere il controllo di un PC usando Internet Explorer (Windows 7) o Firefox (Windows XP).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4254364/PI/News/ie-hp-alla-guerra-delle-vulnerabilita.aspx)
Hewlett-Packard rilascia un exploit per un baco presente in Internet Explorer, un problema che Microsoft si rifiuta di risolvere. Adobe è invece impegnata a distribuire l'ennesima patch correttiva per Flash Player
Roma - Guerra di policy e disclosure di informazioni su bachi e vulnerabilità di sicurezza tra Microsoft e Hewlett-Packard, con quest'ultima che ha deciso di distribuire (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/There-and-back-again-a-journey-through-bounty-award-and/ba-p/6756465#.VYrHMaIauDn) il codice proof-of-concept in grado di sfruttare un pericoloso bug presente nel browser Internet Explorer.
La vulnerabilità è ben nota a Microsoft, al punto da aver fatto guadagnare ai ricercatori HP una "taglia" da ben 125mila dollari poi donati in beneficenza, e permette a un malintenzionato di bypassare la tecnologia Address Space Layout Randomization (ASLR) per compromettere il sistema.
La falla mette a rischio solo i sistemi operativi a 32-bit, una "variante" di Windows che ancora anima milioni di PC nonostante le CPU x86 a 64-bit siano la stragrande maggioranza dell'offerta di mercato. Microsoft, invece, non è d'accordo sulla dimensione del rischio e non ha a quanto pare intenzione di distribuire una patch correttiva.
I ricercatori di HP si dicono in ogni caso in disaccordo con la decisione di Redmond, e hanno preferito rilasciare l'exploit funzionante su Windows 7/8.1 permettendo alla community di comprendere appieno la minaccia e tutti i dettagli tecnici del caso.
La disclosure di HP avviene nel pieno rispetto della policy aziendale in materia, dicono i ricercatori (http://www.zdnet.com/article/exploit-code-released-for-unpatched-flaw-in-internet-explorer/), e non è certo questo il primo caso in cui un'azienda esterna si trova in contrasto (http://punto-informatico.it/4215912/PI/News/google-guerra-delle-vulnerabilita.aspx) con le pratiche di sicurezza adottate da Microsoft per il suo ecosistema software su PC.Chi invece sembra aver fatto passi avanti sul fronte dei bugfix è Adobe, società che oramai dispensa con una certa regolarità (http://www.theregister.co.uk/2015/06/23/adobe_flash_player/) patch correttive per le vulnerabilità individuate nel solito Flash Player: l'ultimo bollettino di sicurezza (http://blogs.adobe.com/psirt/?p=1210) distribuito dalla software house corregge una vulnerabilità critica (CVE-2015-3113) in Flash scoperta da FireEye e potenzialmente sfruttabile per prendere il controllo di un PC usando Internet Explorer (Windows 7) o Firefox (Windows XP).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4254364/PI/News/ie-hp-alla-guerra-delle-vulnerabilita.aspx)