PDA

Visualizza versione completa : ennesima falla in IE



shottolo
08-07-2004, 15.16.20
da www.punto-informatico.it

Internet Explorer ancora nei guai
Un esperto di sicurezza ha mostrato come una nuova debolezza di Internet Explorer possa essere sfruttata dai cracker per lanciare attacchi del tipo di Download.Ject. Nuove patch in vista


08/07/04 - News - Roma - All'interno di Internet Explorer si cela una vulnerabilitą che, similmente a quella recentemente corretta da Microsoft, potrebbe essere utilizzata in congiunzione con altre falle per attacchi simili all'ormai famoso Download.Ject.


La vulnerabilitą, descritta in un advisory apparso su SecurityFocus.com, č contenuta in un componente ActiveX chiamato Application.Shell utilizzato da IE 5.5 e 6.0 su tutte le versioni di Windows, dalla 98 alla Server 2003. La debolezza potrebbe consentire ad una pagina Web malevola di eseguire uno script capace di modificare alcune configurazioni del registro di Windows e spianare la strada ad altre forme di aggressione.

"In congiunzione con altre vulnerabilitą potrebbe anche consentire l'esecuzione arbitraria di file eseguibili", si legge nell'advisory. "In particolare, č stato riportato come sia possibile alterare il registro per annullare l'efficacia di precedenti patch di sicurezza".

Microsoft ha riconosciuto l'esistenza del problema e si č detta al lavoro sullo sviluppo di una patch. In attesa che il big di Redmond rilasci un fix, l'autore dell'advisory, lo studente olandese Jelmer Kuperus, ha suggerito alcune soluzioni al problema.

Kuperus ha spiegato che la falla da lui descritta č nota da molti mesi, tuttavia fino ad oggi nessuno sembra averle dato l'importanza che merita: da sola, infatti, č quasi innocua, mentre se utilizzata con le falle emerse di recente in IE potrebbe essere utilizzata per installare sui PC cavalli di Troia o sottrarre informazioni riservate.

Di recente alcuni esperti di sicurezza hanno poi fatto notare che la modifica di Microsoft per correggere la debolezza di IE sfruttata da Download.Ject ha un'efficacia soltanto parziale: stando infatti a quanto riportato in questo post apparso sulla mailing-list Full Disclosure, attacchi del genere di Download.Ject sono ancora possibili apportando poche modifiche all'exploit. Microsoft ha ammesso che questa patch č da considerarsi una soluzione solo temporanea al problema e che prossimamente rilascerą una serie di aggiornamenti di sicurezza per IE che dovrebbero risolvere questo ed altri problemi del proprio browser.

thedarkmind
09-07-2004, 01.45.55
Che novitą... siamo alle solite :rolleyes:
Grande winzozz

zio_lucas
09-07-2004, 08.49.56
a proposito di internetschifezzaexplorer

da quando si č saputo di questo famoso Download.Ject, premetto che ho windows xp home editions con una delle ultime versioni di internetschifezzaexplorer, avevo scaricato il "pach" che annullava una funzionalitą active x del browser...solo che non riesco a visualizzare corretamente la mia e-mail non apre le opzioni e non mi consente di scrivere...allora mi son detto "beh senza quella funzione il browser č quasi inutile" allora ho scaricato mozilla solo che ha lo stesso problema...non č che eliminando la funzione active x automaticamente non funge neanche l'altro browsert???