Punto informatico Network

IE, Internet Explorer, Internet, explorer

ADODB.Connection fa tremare Internet Explorer

01/11/2006
- A cura di
Zane.
Archivio - Scoperta una nuova falla a rischio elevato in Internet Explorer 6. In attesa di una patch ufficiale è indispensabile prendere provvedimenti: un exploit preliminare è già stato pubblicato.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 109 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Il Security Response Center di Microsoft ha confermato nei giorni scorsi una debolezza piuttosto seria in un componente presente in Internet Explorer 6 (senza escludere la possibilità che anche Internet Explorer 7 sia afflitto dal medesimo problema). IE_morbido.png

Un difetto di progettazione nel controllo denominato ADODB.Connection consente infatti ad un server remoto di lanciare in rapida sequenza una serie di query potenzialmente malformate: a causa della capacità di questa tecnologia di funzionare in modo asincrono, il componente potrebbe non essere in grado di processare le istruzioni inviate abbastanza in fretta. In questo caso potrebbe verificarsi un accesso non valido alla memoria, che il cracker sfrutterebbe per ottenere effetti variabili fra un fastidioso (ma innocuo) crash del navigatore fino ad arrivare all'esecuzione di codice da remoto.

Al momento non è disponibile un exploit in grado di lanciare codice, ma solamente un proof-of-concept che dovrebbe crashare il navigatore. Il semplicissimo codice sorgente di questo giochino è disponibile qui ma, almeno sulle mie configurazioni di test, non sortisce alcun effetto.

Ad ogni modo, si tratta di una vulnerabilità da non sottovalutare: per sfruttare la debolezza infatti un cracker non dovrebbe far altro che rendere disponibile una pagina web, indurre la vittima a visitarla con una versione non debitamente protetta del browser ed il gioco è fatto: niente da cliccare, nessun allegato infetto, nessun programma da eseguire... ma ci si potrebbe trovare comunque il sistema compromesso da un virus o da uno spyware.

Al momento attuale non esiste alcuna patch, ma non è da escludere che venga resa disponibile già per il ciclo di aggiornamenti previsto per la seconda settimana di novembre.

Fino ad allora, raccomando a chi utilizzasse il PC a casa di sfruttare un navigatore alternativo, come Firefox 2.0 oppure Opera. Per gli amministratori di sistema o per chiunque fosse costretto da politiche aziendali ad utilizzare IE, è possibile settare il killbit per il CLSID {00000514-0000-0010-8000-00AA006D2EA4} per disabilitare il componente incriminato.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 72
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11