Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
web

Connessioni / Next / Search / Sicurezza / Social

Archivio » 2008 » maggio » lunedì 12 »

Internet Explorer sotto attacco. Finora segreto…

browser explorer sicurezza

Scritto da Guido Sintoni

Bookmark and Share

Articoli correlati

Tornano gli zero day exploit per Internet Explorer? Il punto interrogativo è d’obbligo, perché chi ha pubblicato codice che permette a un attaccante di prendere pieno controllo di un sistema su cui girano Explorer 7 o Explorer 8 è reale (è quell’Aviv Raff che nel recente passato ha scoperto il bug di Skype il quale, in unione ai video di Dailymotion, metteva a rischio gli utenti dell’applicazione), ma il codice rimane ancora nascosto.

Da qualche parte nel mio blog ho nascosto una proof-of-concept che sfrutta questa vulnerabilità non ancora corretta” ha scritto Raff. Insomma, lo zero day exploit c’è ma non si vede, almeno fino al momento, e “permette di eseguire software arbitrario sulla macchina vulnerabile” [nella fattispecie, il lancio della calcolatrice di Windows semplicemente caricando codice Html maligno, ndR]. Il ricercatore israeliano sostiene di avere messo al corrente della cosa Microsoft all’inzio della settimana appena conclusa, e che Big M “non avrebbe bisogno di molto tempo per correggere il bug, ma la sensazione è che non lo farà in tempi rapidi a meno che la vulnerabilità non diventi pubblica“.

Si ripropone quindi il problema della cosiddetta responsible disclosure: i principali vendor di software commerciali richiedono a chi scopre vulnerabilità di non rivelarle al pubblico, adducendo motivi di tutela nei conftonti degli utenti. Il rovescio della medaglia è che, così facendo, i vendor riescono a calmierare il ciclo di rilascio delle patch, lasciando scoperti bug non noti. Lo stesso Raff ha sottolineato come “l’ultima volta che ho seguito la via della responsible disclosure ci sono voluti sei mesi per correggere il bug scoperto”.

Per questo motivo, Raff rilascerà il codice dell’exploit durante questa settimana: di fatto la sua posizione è quella di una responsibile disclosure in cui è il ricercatore e non il produttore di software a dettare i tempi delle correzioni; al momento in cui scriviamo Microsoft non ha rilasciato commenti sulla vicenda.


Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« Social touring - Web 2.0, i siti della settimana (99)

Un bug trasforma Gmail in un distributore di spam »

IBM

Il Service Management secondo IBM

Scopri i servizi nell'era delle risorse più intelligenti.
Scarica il WhitePaper sul Service Management

Panorama Economy Made in Italy

Più letti

Più commentati

Ultimi commenti

I Tutorial di Mytech