Quote:
Originariamente inviato da emiliano84
|
Se non fosse che tutte le bug note di ad esempio Firefox vengono automaticamente rese pubbliche, mentre invece per IE non è detto, senza contare vulnerabilita dichiarate come semplici bug fin quando non cominciano a circolare in grande stile exploit che ne fanno uso.
Inoltre ancora adesso IE paga per il suo peccato originale di progettazione: gli ActiveX.
Gli ActiveX sono essenzialmente codice x86 precompilato scaricato automaticamente via internet da IE ed eseguito (dal punto di vista degli antivirus ecc. ecc) come se fosse parte di IE.
L'unico meccanismo difensivo iniziale era una firma (opzionale), senza alcuna garanzia su cosa facessero effettivamente.
Infatti anche l'ultima mega falla che colpisce più versioni di IE (descritta come un aggiramento di Windows DEP ed ASLR) in pratica riguarda ActiveX malevoli e l'unico motivo per cui Microsoft è uscita allo scoperto è che tale exploit è gia sfruttato per attaccare bersagli pregiati e la cosa non può più essere negata senza rischiare cause o peggio.