Roma - Microsoft ha confermato
l'esistenza di una vulnerabilità in
Internet Explorer legata, ancora una volta,
alla controversa tecnologia ActiveX. Nel contempo
due hacker hanno svelato una debolezza nel
noto antagonista open source di IE, Firefox,
relativa a JavaScript.
La falla di IE, a cui Microsoft
ha dedicato questo
advisory, interessa anche la Windows Shell
ed è causata da un buffer overflow
nel controllo ActiveX WebViewFolderIcon (webvw.dll).
Sebbene l'esistenza del bug sia stata divulgata
lo scorso luglio dal ricercatore H.D.Moore,
la sua potenziale pericolosità è
divenuta evidente solo pochi giorni fa, con
la pubblicazione di un proof of concept che
dimostra la possibilità di sfruttare
la falla per eseguire del codice da remoto.
Secunia, che in questo
advisory considera la gravità del
problema "extremely critical", ha
confermato l'esistenza della debolezza in
un sistema con Windows XP SP2, IE6 e tutte
le ultime patch di sicurezza. Il controllo
ActiveX vulnerabile si trova anche in Windows
2000 e 2003, ma in quest'ultimo sistema operativo
le impostazioni di sicurezza predefinite mitigano
sensibilmente la pericolosità della
falla.
Microsoft afferma di non essere
a conoscenza di attacchi che sfruttino la
recente vulnerabilità, ma il pericolo
esiste: l'azienda ha infatti spiegato che
un sito web creato ad hoc potrebbe approfittare
della breccia per iniettare sui PC dei visitatori
trojan e altri codici dannosi.
Il big di Redmond ha programmato
il rilascio di una patch in occasione della
pubblicazione dei suoi prossimi bollettini
di sicurezza, previsti per il 10 ottobre.
In attesa che venga distribuita, Microsoft
raccomanda ai propri utenti di disattivare
l'esecuzione degli ActiveX o impedire che
il controllo WebViewFolderIcon possa essere
richiamato da IE: le istruzioni si trovano
nella sezione Suggested Actions -> Workarounds
del suo advisory (che presto verrà
pubblicato anche in italiano qui).
L'esperto di sicurezza Alex
Sotirov ha avvertito che WebViewFolderIcon
potrebbe essere solo uno dei molti vettori
d'attacco della vulnerabilità. L'esperto
sostiene infatti che l'errore alla base della
falla è un integer overflow nella libreria
comctl32.DLL, un importante componente di
Windows utilizzato da un grande numero di
applicazioni.
I problemi di sicurezza non
risparmiano neppure il più diretto
avversario di IE, Firefox. Secondo quanto
riportato da ZDNet in questo articolo, i due
hacker Mischa Spiegelmock e Andrew Wbeelsoi
hanno rivelato l'esistenza di una falla nell'implementazione
di JavaScript utilizzata da Firefox.
"Tutti sanno che Internet
Explorer non è molto sicuro, ma Firefox
non fa eccezione", ha affermato Spiegelmock
in occasione della conferenza di hacker ToorCon
che si è tenuta lo scorso fine settimana
a San Diego.
Spiegelmock ha spiegato che
la falla, utilizzabile per eseguire del codice
dannoso via Web, "è impossibile
da patchare": il motivo è che,
secondo l'hacker, l'implementazione di JavaScript
sviluppata da Mozilla Foundation "è
un vero pastrocchio".
Window Snyder, security chief
di Mozilla Foundation, ha ammesso che il problema
descritto da Spiegelmock "sembra essere
una vera vulnerabilità", ma a
suo dire sembra trattarsi della variante di
un vecchio attacco.
Spiegelmock ha fatto sapere
di essere a conoscenza di altre 30 vulnerabilità
di Firefox attualmente senza patch, vulnerabilità
che l'hacker non ha ancora in progetto di
divulgare. Ad ognuno i suoi giochini.
Fonte: Punto-informatico.it
Questo articolo, come tutti i contenuti di Punto
Informatico (salvo diverse indicazioni) sono
pubblicati secondo la licenza di utilizzo
di Creative
Commons
inpagina
|
Software motori di ricerca - Guadagnare
Online
Affari-web.it
non si assume alcuna responsabilità circa i contenuti dei link
segnalati. Le foto inserite in alcune pagine sono state tratte liberamente
dal web (non si specificava alcun diritto) e chiunque ne detenga i diritti
può contattarci per la rimozione. Tutti i marchi citati appartengono
ai loro proprietari.
|
