Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
web

Connessioni / Next / Search / Sicurezza / Social

Archivio » 2008 » maggio » lunedì 19 »

Svelato il misterioso bug di Internet Explorer

exploit internet explorer microsoft responsible disclosure

Scritto da Guido Sintoni

Bookmark and Share

Articoli correlati

A una settimana dall’annuncio dell’esistenza di un bug di Internet Explorer che permette di prendere pieno controllo di un sistema vulnerabile, ecco che lo scopritore - l’israeliano Aviv Raff - scende nei dettagli. Il ritardo è presto spiegato: Raff ha deciso di seguire la via della responsible disclosure suggerita da Microsoft e da tutti i vendor commerciali per le vulnerabilità relative ai propri prodotti, ma di accorciarne in maniera significativa i tempi.

L’ultima volta che ho seguito la via della responsible disclosure ci sono voluti sei mesi per correggere il bug scopertoha scritto infatti Raff, pubblicando l’exploit per la vulnerabilità sul proprio blog senza rivelarne l’esatta ubicazione, ma invitando i visitatori a scoprirlo. Lo scopo dichiarato era quello di spronare Microsoft a una rapida soluzione del problema senza tuttavia diffondere uno zero day exploit in grado di favorire attacchi indiscriminati. Dopo sette giorni la scoperta, ad opera di un visitatore soprannominato ‘George il Greco‘.

Il problema risiede nella funzione di Explorer che permette di stampare la pagina Web visualizzata e, alla fine, l’insieme dei link in essa contenuti: basta uno script ben congegnato per eseguire software arbitrario - uno scenario plausibile è legato a spyware o adware - sui sistemi vulnerabili. “Sono a rischio Explorer 7 e 8” ha scritto Raff. Secondo la danese Secunia, il bug si verifica anche su Explorer 6 ma è “poco critico” per l’elevato numero di passaggi necessari perché l’attacco vada a buon fine.

Secondo Raff, il problema potrebbe essere di portata maggiore se gli attaccanti prendessero di mira pagine Web stampabili con una certa frequenza, quali quelle di Wikipedia. Adesso tocca a Microsoft mettere mano al codice; da parte propria l’azienda di Redmond ha confermato la dinamica dell’attacco e sottolineato come nella pratica l’exploit non sia ancora stato sfruttato. Ma tutto sommato un simile atteggiamento fa presagire il rilascio di una patch.

Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« Silverlight approda su Linux. Ma non è (tutto) merito di Microsoft

E-commerce, lo evita solo chi non lo conosce »

IBM

Il Service Management secondo IBM

Scopri i servizi nell'era delle risorse più intelligenti.
Scarica il WhitePaper sul Service Management

Panorama Economy Made in Italy

Più letti

Più commentati

Ultimi commenti

I Tutorial di Mytech