hit counter
13 December 2008

Security Advisory 961051 su Internet Explorer: nuovi workaround

Anche se due giorni fa non ho avuto la possibilità di aggiornarvi tempestivamente sull'uscita di questo advisory "Microsoft Security Advisory (961051) - Vulnerability in Internet Explorer Could Allow Remote Code Execution", ora ho modo di farlo in modo più completo poiché nel frattempo si è provveduto ad aggiornarlo un paio di volte (l'ultima proprio stanotte, ora italiana), per aggiungere nuovi dettagli sulle versioni interessate dalla vulnerabilità, su nuovi workaround protettivi e sulle raccomandazioni su quali di questi siano più efficaci.

Se quindi avete già letto l'advisory in questione vi invito a consultarlo nuovamente per approfondire queste nuove e importanti informazioni, in particolare alla sezione "Frequently Asked Questions" e alla sezione "Workarounds" che trovate all'interno della sezione "Suggested Actions".

In merito alle versioni interessate dalla vulnerabilità, l'analisi finora ha accertato che, nonostante siano potenzialmente vulnerabili tutte le versioni di Internet Explorer attualmente supportate, gli attacchi limitati di cui si è a conoscenza interessano solo Internet Explorer 7.

Come al solito si sta facendo un grande lavoro dietro le quinte per tenere sotto controllo lo scenario di rischio grazie al supporto di tutta la rete di partner dell'alleanza MSRA e del nuovo programma MAPP di coinvolgimento preventivo dei fornitori Antimalware: una informazione importante che proviene da questo monitoraggio è la segnalazione di alcuni attacchi di tipo SQL Injection verso siti web per poterli infettare con l'exploit di questa vulnerabilità di Internet Explorer di cui stiamo trattando. A questo riguardo può essere utile rammentare l'advisory 954462 che forniva strumenti e indicazioni utili per la protezione da attacchi di SQL Injection.

Queste vulnerabilità 0-day pubblicate subito dopo l'emissione dei bollettini e le relative considerazioni fatte nella blogosfera sulle raccomandazioni di cambiare browser mi solleticano alcune riflessioni... che condividerò con voi nel prossimo post!

A presto!

Aggiornamento del 15/12/2008 ore 10:00: l'advisory è stato ulteriormente aggiornato con nuovi workaround; è inoltre possibile approfondire i dettagli degli stessi in questo post del team SWI (c'è una interessante tabella per capire come intervengono questi workaround, nel bloccare gli attacchi noti ad oggi e nel proteggere in modo più completo rispetto alla specifica vulnerabilità).

Altri post/risorse correlate:

  • Post del team SWI: Clarification on the various workarounds from the recent IE advisory
  • i post della categoria "Security Bulletin and Advisory Risk Analysis"
  • Riepilogo analisi Bollettini e Advisory

    • Share this post :

    Filed under: , , , , , , , ,
     

    Comment Notification

    If you would like to receive an email when updates are made to this post, please register here

    Subscribe to this post's comments using RSS

    Comments

    # wisher said:

    Sull'advisory leggo:

    Mitigating Factors:

    Protected Mode in Internet Explorer 7 and Internet Explorer 8 in Windows Vista limits the impact of the vulnerability.

    Questo significa che con Vista si può stare tranquilli o c'è lo stesso qualche possibile problema, anche se di impatto minore?

    13 December 08 at 8:28 AM
    # suc said:

    Feliciano, oggi su Punto Informatico sono state delle delle inesattezze grosse come una casa. Viene detto che IE8 è più sicuro perchè ha una Protected Mode migliore, mentre in realtà il Protected Mode è uguale a quello di IE7 su Vista. IE8 ha semplicemente il DEP abilitato a default, ma il DEP non è il "Protected Mode". Che incompetenti quelli di PI.

    15 December 08 at 3:28 AM
    # Feliciano Intini said:

    @wisher: il Protected Mode limita l'ambito di azione del codice dannoso ma di per sé non blocca l'attacco. Come poi indicato nel post SWI che vi ho appena segnalato, in presenza di Protected Mode abilitato è possibile implementare un workaround (tramite la modifica dell'Integrity Level della OLEDB32.DLL) che impedisce ad IE di leggere/eseguire la DLL incriminata.

    @suc: c'è da dire che non sono dettagli banali, soprattutto quando si devono spiegare in relazione agli attacchi.

    15 December 08 at 4:40 AM
    # suc said:

    il problema è che quelli di PI fanno affermazioni senza nemmeno aver letto l'advisory, dato che non c'è scritto da nessuna parte che la modalità protetta di IE8 è migliore della IE7. Potevano al massimo dire che IE8 è più protetto perchè ha il DEP abilitato a default, ma dire che il protected mode è più efficace in IE8 è errato.

    15 December 08 at 5:01 AM
    # Simone said:

    Feliciano,

    a questo link http://www.pcalsicuro.com/main/2008/12/internet-explorer-7-under-0day-attack/ si parla già di malware che sfruttano questa vulnerabilità. Però, da quello che ho capito in quel link, Vista con UAC e livelli di integrità permettono comunque di restringere bene il campo di azione di eventuali malware se Internet Explorer viene attaccato. Ho capito bene?

    Grazie

    15 December 08 at 9:59 AM
    # Vincenzo Di Russo [MVP IE] said:

    http://blogs.dotnethell.it/vincent/Microsoft-out-of-band-Security-Bulletin-pronta-la-patch-per-Internet-Explorer.__14695.aspx

    17 December 08 at 1:07 AM
    # Security Blog di Feliciano Intini said:

    In una corsa contro il tempo per testare nel miglior modo possibile la patch correttiva relativa alla

    17 December 08 at 4:47 AM
    # Security Blog di Feliciano Intini said:

    Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario " MS08-078

    17 December 08 at 8:24 PM

    Leave a Comment

    Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

    (required) 
    (optional)
    (required) 

      
    Enter Code Here: Required
    Page view tracker