hit counter
Microsoft Security Advisory 979352 su Internet Explorer - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory 979352 su Internet Explorer

Microsoft Security Advisory 979352 su Internet Explorer

  • Comments 9
  • Likes

Ieri sera al ritorno dal mio convegno a Catania ho letto sullo smartphone che Microsoft aveva rilasciato un nuovo “Microsoft Security Advisory (979352) - Vulnerability in Internet Explorer Could Allow Remote Code Execution” per segnalare di una nuova vulnerabilità, relativa a tutte le versioni di Internet Explorer attualmente supportate tranne la versione nativa installata su Windows 2000 (IE 5.01). Dal punto di vista tecnico tale vulnerabilità non si differenzia dalle precedenti: il suo sfruttamento permetterebbe l’esecuzione di codice da remoto nel contesto di sicurezza dell’utente loggato, (potendo così fare più danni nel caso di utente amministratore del suo PC e davvero poco nel caso di semplice utente non privilegiato), e richiede che l’utente navighi direttamente sul sito web in grado di attaccarlo. L’aspetto spiacevole riportato dall’advisory era la conoscenza di attacchi limitati e circoscritti che utilizzano esclusivamente Internet Explorer 6 come vettore di attacco, in particolare realizzati solo su Windows XP: sulle altre versioni di IE, vuoi per la funzionalità di Data Execution Prevention (DEP), vuoi per la modalità di Protected Mode, l’exploit attualmente noto non riesce a funzionare. Il blog del Microsoft Security Research & Defense ha postato maggiori dettagli tecnici ed una utile tabella di rischio che vi ho tradotto:

image

Chi ha quindi seguito il reiterato consiglio di approfittare delle migliorie di sicurezza (e non solo) delle ultime versioni di IE, e in particolare di Internet Explorer 8, non ha motivo di preoccuparsi.

Vi devo confessare che ieri sera la lettura di questo advisory non mi ha preoccupato: le caratteristiche standard della vulnerabilità e l’inefficacia sulle ultime due versioni di IE dell’exploit noto mi facevano stare tranquillo.

Oggi il security advisory è stato aggiornato per comunicare che l’exploit era stato reso pubblico, e si è inoltre saputo che Internet Explorer era stato uno dei vettori che hanno permesso la realizzazione degli attacchi a Google di cui vi parlavo giovedì scorso.

Ho già iniziato a leggere alcuni articoli che addossano a Internet Explorer (e quindi a Microsoft) le colpe di tali eclatanti attacchi a Google e alle altre società (Adobe compresa) che hanno ammesso di aver subito intrusioni: sinceramente non so se sorridere… :-) o piangere… :-(, e temo ci sia bisogno di aiutare qualcuno a capire meglio…

Mi documento sugli ultimi esiti e poi torno a spiegarvi meglio... a presto!

Aggiornamento del 18 gennaio 2010: l’approfondimento che vi avevo promesso Chiarimenti sulle modalità di attacco del recente Security Advisory su IE, con nuovi link.

Aggiornamento del 19 gennaio 2010: leggendo alcuni post/articoli sul web mi sono accorto di aver generato qualche dubbio per mancanza di dettaglio: nel parlare di exploit noto funzionante intendevo riferirmi alla modalità di esecuzione di codice da remoto, che è quella in grado di infettare un sistema con un eventuale malware.

Aggiornamento del 19 gennaio 2010: purtroppo lo scenario di rischio si sta evolvendo, e da ieri si è a conoscenza di un nuovo codice di tipo proof-of-concept (PoC) che interessa IE7 su Windows XP e Windows Vista; la fase di indagine è ancora in corso e la sua efficacia non ancora confermata.

Nel post MSRC vi sono anche due video a supporto degli utenti: Advisory 979352 Update for Monday January 18

Nel post SRD ci sono maggiori dettagli ed un video sul DEP: Additional information about DEP and the Internet Explorer 0day vulnerability

Aggiornamento del 19 gennaio 2010: segnalata la decisione di un rilascio straordinario dell’aggiornamento correttivo:

Security Advisory 979352 su IE: preavviso di rilascio straordinario (OOB)

Aggiornamento del 21 gennaio 2010: l’aggiornamento correttivo è ora disponibile, e in questo post trovate indicazioni utili e alcuni dettagli tecnici:

Pubblicato il bollettino di sicurezza straordinario MS10-002 su IE

Feliciano

Altri post/risorse correlate:

Comments
  • Sì, in effetti fa sorridere/piangere che Google critichi Microsoft perché ha subito un attacco informatico tramite Internet Explorer...

  • Ciao Feliciano,

    Ho cercato nel post del Microsoft SR&D ma non c'è nessun cenno (a parte il grafico che è lo stesso) alla mitigazione dovuta a IE Protect Mode...

    E' un refuso, oppure potresti mandarci qualche riferimento in più?

    grazie

  • @Patrick: ad essere precisi non è stata Google direttamente a criticare, ma c'è stata diversa (dis)informazione da parte di terzi...spero non in mala fede ;-)

    @Roberto: di quale approfondimento hai bisogno? Il cenno al Protected Mode è indicato direttamente nei Mitigating Factors del Security Advisory ufficiale

  • Da quello che scrivi nel post pare che avendo Internet Explore 8 siamo pressoche sicuri ! percui presumo che le patch vengano rilasciate solo per le versioni precedenti 6 e 7 e non per la 8 oppure è previsto un aggiornamento per magari implementare la sicurezza anche su Internet Explorer 8 ??

  • No Andrea, la patch sarà prodotta per tutte le versioni di IE interessate, che ho detto essere quelle da IE6 in poi

  • Io non posso passare a IE8 ed IE7 su Xp sp3 perchè sennò con gli aggiornamenti di sicurezza cumulativi non funziona più Halo (Microsoft).

    Quindi mi devo tenere IE6, che anche aggiornato permette ad Halo di girare.

    Come mai gli aggiornamenti di IE vanno in conflitto con Microsoft Halo, non se ne sono accorti nei test ?? perch non correggono il problema, presente da mesi ??

  • Davvero Eugenio? Scusami, ma faccio fatica a pensare che un tale problema di compatibilità non sia stato indirizzato: hai mai contattato il nostro servizio clienti per approfondire il problema? (lo trovi nella mia pagina linkata a destra sulle "risorse utili in caso di emergenze di sicurezza). Non appena ho modo, provo a documentarmi meglio: se mi contatti tramite blog provo a farti sapere l'esito della mia verifica.

  • Feliciano ti invio un link interessante, purtoppo la patch rilasciata non copre Halo, ma altri giochi

    http://social.answers.microsoft.com/Forums/it-IT/xpgamingit/thread/734336ef-6298-46c8-b629-6b4a49230b9d

    Quà è descritto meglio l'errore, che ho riprodotto tale e quale sul mio PC anche con IE7 (sia IE8 che IE7 appena installati non danno problemi con Halo, lo fanno entrambi dopo gli aggiornamenti)

    http://jarheadkaye.blogfree.net/?t=1603919

    Ho una curiosità: non è che questo tipo di errore/conflitto possa essere manipolato in qualche modo e diventare un vettore di attacco tramite Halo/IE ?

  • Scusate un attimo.

    Ma perchè Microsoft, Re del Software non mette un applicativo dentro Internet Explorer (come aggiornamento di Navigazione) che se non aggiorni all'ultima versione disponibile, non visualizzi nulla sul Web.

    Io ho provato a casa di un'Amica... che dice di preferire Firefox... nulla di particolare in realtà se confrontato a Internet Explorer 8 che è Decisamente Superiore, ma mi ha stupito che pur essendoci la versione 3.5 non mi consentiva di visualizzare nemmeno un testo, se non avessi aggiornato subito alle versione 3.6... FURBI NO?!?

    Mozilla in questo modo lascia perdere il Supporto Storico che impegna invece ingenti risorse a Microsoft, e si concentra sempre sull'ultima versione.

    Non ho trovato l'utilità, ma ho notato anche che i Download li mette in una finestra pop-up con la cronologia degli ultimi file scaricati.

    Pecca di Firefox, l'impossibilità di Gestire e Salvare Singolarmente i Link ai siti come in Internet Explorer - Document and settins - Preferiti!

    INSOMMA NON SI PUÒ OBBLIGARE ALL'AGGIORNAMENTO IMMEDIATO?!? O SE LO FA GOOGLE, APPLE, MOZILLA E COMPAGNIA BELLA È LEGALE E SE LO FA MICROSOFT, SI RICORRE SUBITO ALL'ANTITRUST?!?

    VEDI BALLON SCREEN... CHE È UN'EMERITA ****** E PERDITA DI TEMPO!!!

    Grazie

    Michael Nicoli

    Michael_Nicoli@hotmail.com

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment