Microsoft Internet Explorer: rilevato un problema di sicurezza

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...zza_27489.html

A poche ore dalla distribuzione mensile degli aggiornamenti Microsoft è stato rilevato un importante problema di sicurezza relativo a Internet Explorer già sfruttato in alcuni attacchi


Click sul link per visualizzare la notizia.

[Garbain]

Workaround completi in attesa della patch:

http://blogs.technet.com/feliciano_i...orkaround.aspx

http://blogs.technet.com/swi/archive...px#workarounds

http://www.pcalsicuro.com/main/2008/...r-0day-attack/

altrimenti usate Firefox 3 o Opera e non usate piu' IE e siete apposto molto meglio in generale nn solo per questa vulnerabilita' specialmente se usate XP e state in rete loggati con account administrator

[Andreainside]

embe? dov'è la notizia?

[Mendocino89]

E quando mai...tra l'altro è presente su TUTTE le versioni di Internet Explorer...
speriamo almeno che la soluzione di tale problema venga inserita nel service pack 2 di Win Vista...
Menomale che ce Firefox ( non che sia perfettamente sicuro ma almeno...)

[Garbain]

Quote:

Originariamente inviato da Mendocino89

E quando mai...tra l'altro è presente su TUTTE le versioni di Internet Explorer...
speriamo almeno che la soluzione di tale problema venga inserita nel service pack 2 di Win Vista...
Menomale che ce Firefox ( non che sia perfettamente sicuro ma almeno...)

entro pochi giorni esce la patch per IE da Servizio Aggiornamenti Automatici (Win Update)

[PhysX]

Un eventuale exploit puo comunque fare ben pochi danni su Vista con UAC attivato e Internet Explorer 7 in modalità protetta, in quanto il codice verrebbe eseguito con i privilegi di utente normale e grazie agli Integrity Level non puo accedere ai dati dell'utente che si trovano nelle sue cartelle personali.

[Nenco]

Ma solo a me explorer ha cominciato a bloccarsi spessissimo? Capita sia a casa che a lavoro (vista 64 e vista 32)
Sono passato a chrome, niente male direi, e se sto scaricando altre cose è anche molto più veloce

[za87]

falla trovata basta risolverla in fretta adesso che è nota...non vedo il problema...

[Freaxxx]

non è che Firefox sia tutta questa bomba ... a me spessisimo occupa 150-200 mb con 1-2 paginette aperte ...
altro che memory lack risolto ...

ad ogni modo io fossi in Microsoft ci fare un thriller a puntate su Explorer , solo che durerebbe un'eternità

[Mendocino89]

A me sinceramnte occupa 70mb con hwupgrade e tomshw aperti...mah...

[WarDuck]

Quote:

Originariamente inviato da PhysX

Un eventuale exploit puo comunque fare ben pochi danni su Vista con UAC attivato e Internet Explorer 7 in modalità protetta, in quanto il codice verrebbe eseguito con i privilegi di utente normale e grazie agli Integrity Level non puo accedere ai dati dell'utente che si trovano nelle sue cartelle personali.

Se non erro il Low integrity mode di default ha 2 policy su 3 attive, NoExecute, NoWrite, però può accedere ai dati in lettura (c'è la policy NoRead ma di default non è attiva), per ovviare si può pensare di fare 2 cose:

a) avviare il programma con altre credenziali, quindi con un altro utente creato ad-hoc che per struttura delle ACLs non può accedere alle cartelle personali di un altro utente (consigliato per queste app che vanno su internet).

b) modificare l'eseguibile affinché il low mode abbia attivo anche la policy NoRead (con questo tool: http://www.minasi.com/vista/chml.htm )

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.

Afferma anche che per aggirare questa limitazione si può pensare di fare ad esempio:

runas /user:web.browser "cmd /c start "\C:\Program Files\...\""

Però non funge sul SO che ho nella Virtualbox.

La prima soluzione funziona ed è testata soprattutto con altri browser tipo Firefox ed è consigliabile per le applicazioni sensibili che devono andare su internet.

Unite la prima soluzione al blocco degli eseguibili per IE e FF per il vostro utente di default e renderete il sistema più sicuro senza bisogno di ulteriori accorgimenti.

[7stars]

Quote:

Originariamente inviato da Freaxxx

non è che Firefox sia tutta questa bomba ... a me spessisimo occupa 150-200 mb con 1-2 paginette aperte ...
altro che memory lack risolto ...

ad ogni modo io fossi in Microsoft ci fare un thriller a puntate su Explorer , solo che durerebbe un'eternità

anche se fosse non vedo qual'è il problema...non venite a dirmi che oggi c'è qualcuno che ha meno di 1GB di ram sul pc...in ogni caso naviga lo stesso...poi bisogna vedere quanto flash sta su quelle pagine...e anche in questo caso non vedo qual'è il problema soprattutto se i siti visitati hanno come target l'intrattenimento...dipende piuttosto dal target delle vostre visite...altrimenti visitate dei semplicissimi blog e non vi occupa nulla...tutto qua

[SwatMaster]

Ma c'è ancora qualcuno, che usa IE?

[WarDuck]

Quote:

Originariamente inviato da SwatMaster

Ma c'è ancora qualcuno, che usa IE?

E c'è qualcuno che fa queste domande senza sapere le percentuali di diffusione dei browser?

[PhysX]

Quote:

Originariamente inviato da WarDuck

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.

Interessante, non sapevo questa cosa. Comunque non dovrebbe essere un problema, anche se gira a livello Medium con un altro utente non puo accedere in ogni caso ai propri dati, in teoria.

Quote:

Originariamente inviato da SwatMaster

Ma c'è ancora qualcuno, che usa IE?

Io

[Garbain]

Quote:

Originariamente inviato da WarDuck

Se non erro il Low integrity mode di default ha 2 policy su 3 attive, NoExecute, NoWrite, però può accedere ai dati in lettura (c'è la policy NoRead ma di default non è attiva), per ovviare si può pensare di fare 2 cose:

a) avviare il programma con altre credenziali, quindi con un altro utente creato ad-hoc che per struttura delle ACLs non può accedere alle cartelle personali di un altro utente (consigliato per queste app che vanno su internet).

b) modificare l'eseguibile affinché il low mode abbia attivo anche la policy NoRead (con questo tool: http://www.minasi.com/vista/chml.htm )

La prima opzione mi sembra quella più sensata e anche quella su cui occorre fare più attenzione, perchè mi pare di ricordare che Joanna Rutkowska affermava che far girare un programma col runas assegna cmq Medium integrity level a prescindere dai flags impostati.

Afferma anche che per aggirare questa limitazione si può pensare di fare ad esempio:

runas /user:web.browser "cmd /c start "\C:\Program Files\...\""

Però non funge sul SO che ho nella Virtualbox.

La prima soluzione funziona ed è testata soprattutto con altri browser tipo Firefox ed è consigliabile per le applicazioni sensibili che devono andare su internet.

Unite la prima soluzione al blocco degli eseguibili per IE e FF per il vostro utente di default e renderete il sistema più sicuro senza bisogno di ulteriori accorgimenti.

WarDuk pero' tu purtroppo dimentichi sempre che il mercato ha un circa 20% di Vista ed un circa 69% di chi usa ancora XP nel mondo

quindi su XP io bandirei IE al volo per Firefox 3 o Opera..e nn solo per la vulnerabilita' evidenziata in questo thread ma per gli Active X Jscript e Vbscript malware che gli hacker creano appestando i siti Web in giro ( per colpire IE) ed a cui Firefox e Opera non rispondono

[valix85]

usate opera!

[JohnPetrucci]

Quote:

Originariamente inviato da Andreainside

embe? dov'è la notizia?

Appunto, non è mica una novità.

[WarDuck]

Quote:

Originariamente inviato da Garbain

WarDuk pero' tu purtroppo dimentichi sempre che il mercato ha un circa 20% di Vista ed un circa 69% di chi usa ancora XP nel mondo

quindi su XP io bandirei IE al volo per Firefox 3 o Opera..e nn solo per la vulnerabilita' evidenziata in questo thread ma per gli Active X Jscript e Vbscript malware che gli hacker creano appestando i siti Web in giro ( per colpire IE) ed a cui Firefox e Opera non rispondono

Hai ragione. Sul fatto che XP di default sia meno sicuro di Vista, c'è ben poco da obiettare, ma un XP ben configurato cmq non sfigura, anche se è un po' più "rognoso" da usare con account user per la mancanza di UAC.

Aggiungiamo cmq che la stessa cosa che ho proposto si può fare anche su XP, ovvero lanciare il browser tramite RunAs come altro utente, che non può accedere alle cartelle del proprio account.

Cioè mettiamo che voi abbiate questi account:

PincoPallino - principale
web.user - come dice il nome per avviare il browser

Fate questa prova, create un file .html nella cartella Documenti di PincoPallino, avviate browser come web.user, digitate il percorso del file html nella cartella Documenti del vostro account principale, il browser vi dirà che non è possibile visualizzare la pagina .

[Obi 2 Kenobi]

Quote:

Il primo suggerimento degli esperti riguarda l'utilizzo della tecnologia DEP (Data Execution Prevention) che sulle versioni a 32 bit di Microsoft Windows Vista non controlla Internet Explorer. Per attivare il DEP sul processo di Internet Exploorer nella versione a 32 bit di Vista è necessario eseguire Internet Explorer come amministratore, andare dunque su Strumenti - Opzioni Internet - Avanzate - Attiva la protezione della memoria per contrastare gli attacchi da Internet.

Io posseggo vista 32 bit e non riesco ad attivare l'opzione essndo di colore biancastro. Che faccio?