Notizie Vulnerabilita' Falla molto rischiosa per Internet Explorer I tetti di Roma
 |
| Falla molto rischiosa per Internet Explorer |
|
|
| Scritto da Valentina | |
| Wednesday 30 November 2005 | |
|
Una vecchia vulnerabilità, per la quale Microsoft non aveva preso nessuna misura di precauzione, si è rivelata molto più problematica di quanto non si pensasse. Una società inglese, per dimostrare le potenzialità nefande di questo bug, ha pubblicato un exploit.
Che alla Microsoft, in fondo, non fossero pronti ad affrontare rapidamente i problemi di sicurezza lo sapevamo, come sapevamo che molte falle sono state lasciate da tempo senza patch. Sapevamo anche che Internet Explorer è un browser che presenta più falle di altri e che esisteva una falla (segnalata a maggio) nell'esecuzione di IE dei Javascript. Quello che non sapevamo è che questa falla non può essere utilizzata solamente per causare dei crash di sistema, ma anche per far eseguire codice arbitrario al computer vulnerabile, senza che l'utente debba fare assolutamente nulla. A dimostrarcelo è stata una società di sicurezza del Regno Unito, la Computer Terrorism, che ha pubblicato un exploit molto significativo. Il programmino in questione fa aprire la calcolatrice di Windows senza che il proprietario del computer esegua alcuna azione. La vulnerabilità viene sfruttata, infatti, invitando semplicemente l'utente a seguire un link. Neanche a dirlo, la falla, non tappata e conosciuta da tempo, si è rivelata molto molto più pericolosa di quanto non si credesse. Secunia le affibbia l'etichetta di massimo pericolo ("extremely critical"), e, anche se non tutti sono d'accordo, la situazione attuale, con tanto di exploit pubblicato, si fa davvero rischiosa. Ad essere affetti dal bug sono tutti i sistemi operativi della Microsoft (tranne Windows Server 2003) e le versioni di Explorer ancora supportate da Redmond, mentre non si sa nulla per quelle anteriori alla 5.00 che non sono più supportate. Anche se l'exploit non sempre riesce su Explorer, sembra che il problema sia circoscritto a questo browser proprietario, i test su Firefox infatti hanno evidenziato solo piccoli problemi (apertura di finestre e rallentamenti). Per minimizzare la falla bisogna disattivare "esecuzione script attivo" dalle impostazioni di protezione di IE oppure utilizzare un altro browser. Si spera che Microsoft pubblichi un bollettino di sicurezza anticipato (il prossimo è previsto per l'8 dicembre), ma le uniche dichiarazioni relative a questo problema sono state quelle di condanna per la divulgazione dei particolari della falla prima che fosse pronta la patch. Da maggio ad oggi sono passati 6 mesi, quindi non si può dire che a Redmond non abbiano avuto il tempo per preoccuparsi della vulnerabilità. Se invece la pubblicazione dell'exploit li costringerà a prendere coscienza e ad affrettare l'uscita di drastiche misure di sicurezza, allora … Articoli correlati: Le patch di Microsoft di novembre 2005 |
| < Prec. | Pros. > |
|---|
Ydea S.r.l. P.I.07450431007
Joomla! un software libero rilasciato sotto licenza GNU/GPL.
