Cerca nel blog

2004/07/13

[IxT] Altre falle di Internet Explorer; chiarimenti su falle nei browser

Questa newsletter vi arriva grazie alle gentili donazioni di "silvio.bacch***", "fiorentino" e "pietro.pall***".

Secunia riferisce di altre quattro falle in Internet Explorer.

La prima consente a un sito ostile di aggirare le normali limitazioni di sicurezza di IE e quindi eseguire istruzioni (script) ostili come se provenissero da un altro sito ritenuto sicuro.

La seconda consente a un sito ostile di ingannare gli utenti, facendoli cliccare su un oggetto, oppure trascinarlo, senza esserne consapevoli, per esempio aggiungendo dei link pericolosi o compromettenti ai Preferiti.

La terza consente di far eseguire script ostili nei link dei Preferiti. La quarta, infine, permette di alterare a piacimento l'aspetto delle finestre dell'applicazione o delle finestre di dialogo, creando schermate ingannevoli che inducono gli utenti ad aprire inconsapevolmente file pericolosi o a compiere altre operazioni a rischio.

Le soluzioni, secondo Secunia, sono due:

  • disabilitare l'Active Scripting
  • usare un altro prodotto

Queste falle hanno effetto su Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6 con tutti gli aggiornamenti di sicurezza sinora forniti.

Secunia ha al momento questa classifica di segnalazioni di falle:


La presenza di Internet Explorer al primo posto sotto Windows e all'ultimo sotto Mac sembra confermare una delle critiche più frequenti al browser Microsoft, ossia che la sua vulnerabilità deriva dalla scelta di integrarlo strettamente nel sistema operativo.

Già che sono in tema di sicurezza, charisco un punto della precedente newsletter del 10/7 riguardante altre falle per Opera, Mozilla, Firefox, Safari e altri prodotti non-Microsoft.

In quella newsletter ho descritto due  falle distinte, ma non le ho separate abbastanza chiaramente. Una è la falla "shell:", l'altra è quella annunciata da Secunia.

Stando alle informazioni pubblicate da Secunia e da Mozillaitalia.org, oltanto le ultimissime versioni disponibili di Opera, Mozilla, Firefox e Thunderbird risolvono entrambe le falle.

Nessun commento: