Punto informatico Network

IE, Internet Explorer, Internet, explorer

Allarme rosso per Internet Explorer

28/11/2005
- A cura di
Zane.
Archivio - Una pericolosissima falla attanaglia Internet Explorer. Nessuna patch ancora disponibile, ma ecco come proteggersi.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

internet (1) , internet explorer (1) , allarme (1) , explorer (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 128 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

"Una di quelle belle grosse": è sicuramente di questa famiglia la falla riportata da qualche giorno dal gruppo di sicurezza Computer Terrorism. Security_alert.gif

L'azienda ha scoperto infatti un modo per sfruttare una vecchia falla di sicurezza di Internet Explorer non ancora corretta per eseguire compromettere un sistema Windows con una semplice pagina web.

Nessun programma da cliccare, nessun avviso di sicurezza o falso messaggio della banca: è sufficiente visualizzare una pagina web in Internet Explorer per ritrovarsi con la macchina alla completa mercé di un utente ostile. E con essa anche numeri di carte di credito eventualmente utilizzate, documenti personali e quant'altro.

Non sembra invece possibile sfruttare la falla utilizzando una e-mail in formato HTML.

La pericolosità della falla è comunque davvero altissima: Secunia l'ha etichettata "Extremely critical", il massimo gradino di allerta. Una valutazione che sicuramente condividiamo.

In attesa di una patch da Microsoft (che probabilmente verrà rilasciata contestualmente agli aggiornamenti di dicembre) è importantissimo innalzare il livello di sicurezza di Internet Explorer, disattivando l'esecuzione automatica degli script: per farlo è sufficiente cliccare su Start -> Pannello di Controllo -> Opzioni Internet -> Protezione, da qui selezionare l'icona Internet e portare quindi l'indicatore su Alto. È bene precisare però che a seguito di questa modifica alcune pagine web potrebbero non funzionare più correttamente: lo stesso menu di navigazione di MegaLab.it ad esempio non verrà più visualizzato, e come esso numerosi altri siti diventano di fatto inutilizzabili.

Le nostre prove

Sono vulnerabili alla debolezza tutte le versioni di Internet Explorer, ad eccezione di quelle monte su Windows Server 2003. Computer Terrorism ha rilasciato a questa pagina un test per verificare se il proprio navigatore è vulnerabile.

Su un sistema di prova, con Windows XP aggiornato al Service Pack 2 e tutti gli ultimi hotfix e patch, il test ha funzionato: Internet Explorer crasha, e viene lanciato il programma "calcolatrice di Windows".

Si è altresì rivelato valido anche il consiglio di innalzare il livello di sicurezza di Internet Explorer: in questo modo il test fallisce, ma come già accennato la navigazione diventa pressoché impossibile su moltissimi siti.

Sebbene non fosse esplicitamente trattato nel bollettino diramato da Computer Terrorist, abbiamo visitato la pagina di testing anche con Firefox (versione 1.5 RC3 ed 1.0.7) ed Opera (sia con la vetusta edizione 7 che con la nuova 8).

Firefox purtroppo crasha impunemente: il processo Firefox.exe si blocca, ed è necessario ucciderlo da task manager. È una seccatura, ma la si risolve abbastanza agevolmente, e non è necessario il reboot completo del sistema. Mozilla Foundation è già al lavoro per risolvere il problema, ma per chi non volesse attendere è sufficiente installare l'estensione NoScript per essere protetti. Naturalmente in questo caso valgono le stesse considerazioni sulla limitata usabilità del web con lo scripting disattivato viste per Internet Explorer.

Opera si comporta decisamente meglio: entrambe le versioni, sia 7 che 8, passano indenni il test senza causare alcun problema.

Lo scenario è lo stesso anche sotto Linux (Fedora Core 4, nella nostra macchina di test): anche in questo caso Firefox non sopravvive, mentre Opera non ha problemi di sorta.

Ad ogni modo, al contrario di Internet Explorer la falla sotto Firefox non permette (almeno per il momento) di eseguire codice da remoto.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.21 sec.
    •  | Utenti conn.: 56
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.03