Cerca nel blog

2010/03/05

IE + F1 = bug

Premere F1 per avere aiuto. Nell'infettarti il PC


Questo articolo vi arriva grazie alle gentili donazioni di "reemulit" e "federico.zu*".

Il tasto F1 è da tempo immemorabile sinonimo informatico di aiuto. O meglio, di un testo che dovrebbe in teoria aiutare spiegando come si usa il computer ma che in pratica di norma finisce per confondere l'utente.

Pazienza per la confusione, ma non per l'infezione: c'è un curioso baco di sicurezza nel VBScript che accompagna Internet Explorer. Consente di infettare un computer con Windows XP, 2000 o Server 2003 semplicemente inducendo la vittima a visitare un sito con Internet Explorer e a premere il tasto F1 in risposta a un messaggio sullo schermo. Ops.

Vista, Windows 7 e Windows Server 2008 sono immuni a questo difettuccio. Al momento non si ha notizia di attacchi concreti che sfruttano questa vulnerabilità, ma circola già qualche esempio dimostrativo.

Microsoft non è molto contenta della cosa, soprattutto per il modo in cui è stata annunciata la vulnerabilità: come scrive nel suo comunicato di avviso, non è stata seguita la prassi abituale corretta, ossia quella di tenere riservata la scoperta della falla e di avvisare con discrezione il produttore del software fallato, affinché predisponga la correzione prima che si sparga la voce. Ma ormai la voce, appunto, s'è sparsa, gli avvisi sono diventati pubblici, per cui i dettagli sono facilmente reperibili.

È probabilmente troppo tardi perché la correzione venga inclusa nella patch mensile di aggiornamento di Windows, per cui la raccomandazione fondamentale è, per chi usa Internet Explorer su Windows XP o 2000 o Server 2003, di navigare con prudenza in siti fidati e di fare attenzione a eventuali finestre di dialogo che dovessero chiedere di premere F1.

In attesa della correzione, varrebbe anche la pena di riflettere se sia ancora il caso di usare un sistema operativo che ormai comincia a mostrare il peso dei suoi nove anni. Anche perché continuerà ad essere preso di mira dagli attacchi, visto che resta attualmente il sistema operativo per PC più usato al mondo: circa il 58% del mercato lo adopera tuttora, secondo W3schools.

25 commenti:

Crapetto ha detto...

Con buona pace di PAX... primo!

Luigi Rosa ha detto...

Purtroppo XP verrà utilizzato ancora per molto tempo anche in contesti professionali essenzialmente per questi due motivi.

Software legacy: molto software utilizzato in azienda potrebbe non essere ancora compatibile con W7 o non lo sarà mai perché non è più in produzione e l'azienda non vuole pagare i costi di upgrade (che non si limitano alle licenze, ovviamente). La VM XP scaricabile per W7 funziona solamente con W7/64 e con risolve certo il problema.

Competenze e resistenze: il personale di gestione del parco informatico (nella più ampi accezione di questo termine) ha sviluppato e sedimentato una notevole conoscenza di XP. Per queste persone W7 è terra incognita e sanno che una migrazione li obbligherebbe ad imparare tutto da zero. Inoltre hanno il precedente di Vista a cui applellarsi per crearsi un alibi dicendo "si può saltare una versione". E' successo qualcosa di simile con Win 98 quando era oramai chiaro che la piattaforma 95/98 era inadatta e quella NT/2000/XP era molto più stabile.

Pax ha detto...

@Capretto

Terzo! :-D

Pax ha detto...

C'e' una falla in windows vista che, dal punto di vista del programmatore, e' veramente un presa in giro. Evitando inutili tecnicismi, windows vista ha limitato le autorizzazioni all'utente "Local System" ma che possono essere aggirate con la scrittura di un semplice file batch. RIDICOLO!!!
Evvai con il software maligno e spazzatura!

theDRaKKaR ha detto...

@luigi rosa

in linea di principio sono d'accordo tuttavia mi sembrano ostative tutt'altro che insormontabili

le applicazioni legacy sono utilizzabili con una virtualizzazione (non per forza quella cosina di Seven ma prodotti più professionali)

per quanto riguarda gli "impiegati informatici", anche io faccio parte di questa categoria e francamente per me e per molti miei colleghi un nuovo sistema operativo è la ventata d'aria fresca che serve per non fossilizzarli e quindi molto ben accetto.. certo magari poi si spera che funzioni anche decentemente, ma questo è un altro problema :)

MG55 ha detto...

L'ultimo paragrafo secondo me contiene una contraddizione: tu Paolo dici che non ha senso continuare a usare XP perché (tra l'altro) è il più attaccato in quanto... è il più usato.
Il che vuol dire che se tutti glu utenti XP seguono il tuo consiglio Win7 diventerà il più usato e quindi il più attaccato :-)

Tharon ha detto...

Scusa paolo ma non sono affatto d'accordo con questa frase : "varrebbe anche la pena di riflettere se sia ancora il caso di usare un sistema operativo che ormai comincia a mostrare il peso dei suoi nove anni"

Io credo piuttosto che varrebbe la pena riflettere (una volta ancora di più) sul senso di dovere spendere per cambiare computer solo per cambiare sistema operativo. E fare le stesse cose che si facevano prima.

Io possiedo un banale 3500+ Single Core che per l'utilizzo che ne faccio va benissimo. Ci lavoro, ci gioco, ci guardo la TV satellitare e lo utilizzo come server multimediale. Passare a Vista (o 7) comporterebbe un notevole esborso monetario per l'acquisto del sistema operativo e per l'upgrade del computer.

Oltre questo la mia scheda satellitare smetterebbe di funzionare, dato che Hauppage non ha mai rilasciato i driver per Vista, metà dei giochi in mio possesso (quelli old-style, i migliori) risulterebbero incompatibili e per finire rimarrei "bloccato" con un sistema operativo che ho avuto modo di provare più volte e semplicemente non mi piace. Lo trovo scomodo e ben poco intuitivo.

E questo ovviamente non vale solo per me. C'è un sacco di gente a cui XP va benissimo per quello che fa e deve fare e non si sogna minimamente di cambiarlo solo perchè Microsoft non sa fare il suo lavoro.

E per inciso.. XP a sentire Microsoft doveva essere il sistema operativo supersicuro e inattaccabile. La realtà è dimostrata differente Chi mi assicura che Vista/7 non seguiranno lo stesso destino una volta raggiunta la stessa diffusione di XP ?

Morale... sino a che posso io mi tengo XP "litezzato" a dovere :D

Tukler (senza c) ha detto...

Demo dell'attacco:
http://isec.pl/poc-isec27/

Ted ha detto...

Quello del sistema operativo non è facilmente superabile. Per avere Win 7 o Vista ci vogliono macchine prestanti. Aggiornare le macchine, almeno per degli uffici dove le macchine sono N, è un costo.
Poi spesso e volentieri c'è molto pressapochismo dei sistemisti. Il sistemista che cura il server nel nostro ufficio, e giuro che non è uno scherzo, una volta mi ha chiesto "Ma che è sto Firefox che lo usate tutti".

Pippolillo ha detto...

Se vi capitasse di lavorare o fare consulenze per qualche ente pubblico italiano, scoprireste che vi sono migliaia di macchine con ancora Windows 2000 e Internet Explorer 6. Anche per lavoro molte applicazioni sono oramai simil-web come la posta elettronica, peccato che IE6 faccia le bizze e spesso quando chiudi la finestra rimane il processo attivo, pertanto nella giornata si accumulano i ghost.

Chiedi ai Sys Man cosa stanno pensando di fare e ti rispondono "ci stiamo lavorando"!

Mi sembra quando anni fa si bloccava un programma e ti dicevano "riavvia il pc"!

:-(((

Forse basterebbe cambiare browser, magari Firefox non avrebbe lo stesso problema? Io non lo so.

Adriano Esposito ha detto...

@tharon e ted

Seven è diverso da Vista, è in grado di girare su macchine su cui Vista lavorava al rallentatore.. cercate su internet e troverete esperienze da faccina :) di chi ha messo Seven su un pc di 5 anni fa

@pippolillo

vada per Windows 2000 (con molta fatica, ma vada), ma usare IE6 non ha nessun senso, neanche nell'ufficio del sindaco di Viggiù: a parte la sicurezza, non funzionano molti siti con quel browser.. e di alternative moderne e gratuite ce ne sono a bizzeffe

theDRaKKaR ha detto...

un veloce saluto a Tuckler (senza C)!

John Wayne jr. ha detto...

Aggiornare le macchine, almeno per degli uffici dove le macchine sono N, è un costo.

Sono felicissimo di vivere in un Paese in cui non si è ancora capita la differenza tra "costo" e "investimento".
Anche comprare nuovi macchinari, quindi, è un costo?

Non mi stupisce quindi che, quando ci siano fondi da recuperare, a livello statale si taglino le spese per informatizzazione e ricerca.

Tukler (senza c) ha detto...

un veloce saluto a Tuckler (senza C)!
>:|

Laura ha detto...

@ Ted: il mio sistemista (nonchè fidanzato), diplomato al Corso di laurea in Sicurezza dei Sistemi e delle Reti Informatiche...è uno strenuo sostenitore dell'universo Microsoft. Quindi vai di Outlook Express, Windows vari, Office e compagnia cantante. Io, da buon bastian contrario, campo di Firefox, Thunderbird, Open Office (tranne che per la stampa unione, Word me la gestisce meglio, e sto imparando a usare Linux/Ubuntu).
E sai che litigate?

ǚşå÷₣ŗẻễ ha detto...

@Laura

Penso che tu, col tuo commento, abbia perfettamente focalizzato la questione: parlando ad esempio di Office, è indubbio che certe funzioni siano meglio implementate, però va detto con forza che per il 90% degli utenti OpenOffice funziona alla grande, esattamente (se non meglio) di Office.

Senza parlare dei browser, dove Microsoft campa fuori standard unicamente contando sul fatto della ancora predominante posizione di IE.


Diverso è se parliamo di SO. E' vero, Windows è bello per la stessa ragione, posizione dominante. Ma è un dato di fatto, maledizione. L'economia di mercato non spinge i produttori di hardware a supportare Linux alla stessa stregua di Windows.Tant'è.

E finchè Linux non sarà in grado di porsi alla pari con Windows in chiave economica, non c'è storia.

Perchè l'utente anche sopra la media troverùà sempre inaccettabile, ad esempio, vedere crashare il suo desktop environmente solo perchè cambia la risoluzione dello schermo :P

Ai linari in ascolto: scrivo cento volte "lo so, non è un problema di Linux ma dei driver" :D

Ma tant'è.

Laura ha detto...

@ ǚşå÷₣ŗẻễ
Ho due portatili, uno su cui ho Linux + Open Office: ha quasi 5 anni di vita, è stato con me un anno e mezzo in Congo (quindi sbalzi di tensione, umidità stratosferica, polvere di argilla che entra ovunque). Fila come un razzo.
L'altro, nuovo di pacca: due mesi di vita, windows 7 + office 2007. Quad core, scheda grafica e robetta varia messa lì apposta per l'elaborazione foto di qualche decina di Mb...sì, ok, fila, ma...insomma, mi aspettavo di più.
Credo che per Linux, Open Office & C. sia anche questione di forma mentis: "se lo usano in pochi è perché è difficile da usare".
Prima di passare a ubuntu e di rompermici sopra la testa per capire COME funziona, ne avevo un reverenziale timore. Amplificato dalla paura di non trovare gli stessi software che mi permettessero di fare le stesse cose che faccio con windows. E soprattutto, da un fidanzato sistemista che -per fare un esempio- ha nel messaggio di status di Skype "I hate Linux". Insomma, se uno che con i computer ci guadagna il pane scrive 'ste cose ci sarà una ragione, no? pensavo...
Uso Linux/Ubuntu con software nelle lingue più improponibili, e viaggiano meglio che quelli che girano su windows; sul vecchio e scassato pc-linux ho messo qualcosa come 100Gb di foto, e gira bene, e discretamente veloce. Nonostante tutte le porcate che ci combino sopra non è MAI andato in crash. Non ho su nessun antivirus, eppure è sempre connesso in rete...

Guarda, ǚşå÷₣ŗẻễ, probabilmente è vero, Office e i software più diffusi gestiscono meglio certe cose, ma a volte basta sbattersi un pochino per trovarne altri che fanno la stessa roba, e magari meglio. Stampa unione a parte, purtoppo.

Adriano Esposito ha detto...

@laura

Non riesco a capire come un laureato in sicurezza di sistemi e reti possa essere "sostenitore"... Non esiste nessun motivo scientifico per essere "sostenitori dell'universo Microsoft" o di qualsiasi altro marchio. Ma sicuramente ho capito male.

Adriano Esposito ha detto...

@laura

ho poi letto che scrive in giro "I hate Linux", ciò evidentemente spiega il suo "sostenimento"..

per rispondere alla tua domanda (se non era retorica) "se uno che con i computer ci guadagna il pane scrive 'ste cose ci sarà una ragione, no?", la risposta è che la ragione è del tutto sua personale e non ha nessuna validità scientifica e/o professionale

Laura ha detto...

@ Adriano Esposito:
la "domanda" era un mio pensiero da totale inetta informatica. Immaginati un comune mortale di fronte al grande luminare della scienza, insomma. La mia posizione era quella.
Ho iniziato a smanettare sui pc pochissimo tempo fa, arrivo da una formazione umanistica e sociale...che in Italia non va troppo d'accordo con l'informatica. Ho imparato a usare un pc distruggendo il mio primo, scassato, computer (Ora monto siti internet...).
Quindi pensavo che se uno, perito informatico, laureato in sicurezza informatica "odiasse Linux" per preferire nettamente il mondo Microsoft, avesse delle ragioni valide e "scientificamente provate". Ora che ne capisco un po' di più, so che è solo una sua preferenza. Dice di lavorare meglio con i prodotti di "papà Microsoft" (tranne che per i server, per quelli solo Linux esiste. Vedi? Anche il suo "Hate Linux"...cade!!). Non gli piace nemmeno la Apple. Avrebbe voluto installarmi internet explorer anche sul pc-linux, quando me l'ha sistemato. Ed è stato minacciato di ritorsioni fisiche.
Ride ora che mi vede risponderti usando Firefox, però ammette che Thunderbird è più potente di Outlook express!
Ha una spiccata predilezione per la Microsoft, ci lavora tutti i giorni (ha in mano la rete informatica della Castorama in Lombardia), e si trova meglio che con altri prodotti, tutto qui.

Ah...e "I hate Linux" gliel'ho fatto togliere!

Tukler (senza c) ha detto...

@Laura: sei sicura che il tuo ragazzo non faccia il sistemista anche nell'ufficio di Ted, si?;)

Adriano Esposito ha detto...

@Laura

faccio lo stesso lavoro, però non ho mai sperimentato niente che possa portarmi a "sostenere Microsoft" o "odiare Linux"..
anzi, ho avuto delle esperienze così frustranti ma così frustranti con Windows che francamente sono stato tentato di etichettarmi I hate Microsoft in fronte..

alla fine la gente che ha una distro Linux sul computer aziendale può fare solo le cose per cui è formata e rompe estremamente meno i marroni con impallamenti, richieste di assistenza e i vari "ho usato il giochino/programmino/sitino ma ora mi dice che sono pieno di virus"

comunque credo che alla fine per il tuo ragazzo sia anche diventato un gioco... perché con tutta la buona volontà non vedo proprio come si possa usare IE se c'è una alternativa a portata di mouse... ^_^

Laura ha detto...

@ Tukler (senza c): non saprei...dove abita Ted? Noi siamo della zona di Malpensa, ma Paolo ha clienti fino a Bergamo. Magari lavora per lui in assistenza remota! ;)

@Adriano Esposito:
Se conoscessi le mie colleghe capiresti perchè non è possibile mollare Windows Xp e office 2003. Hanno imparato 4 comandi in croce e oltre a quelli non vanno...abbiamo proposto di passare a Linux e open office: non mi hanno rivolto la parola per una settimana.
Non vogliono nemmeno passare a Vista o 7!! Tra poco saranno costrette a farlo, perchè cambiamo in blocco tutti i pc (una banca ci regala i loro pc dismessi: un anno di vita, alcuni già con 7 sopra -se ti chiedi il perchè di questa generosità: lavoro per una piccola ONg che fa cooperazione allo sviluppo, e la banca con la donazione ci guadagna), e aspettano questo "avvenimento" con terrore. Ed è ancora Windows... figurati usare Linux!!!

Non saprei dirti perchè Paolo ha questa predilezione per Microsoft. Ma se fosse per lui toglierebbe tutti i concorrenti dal mercato per lasciare solo la roba di "papà Microsoft".
Glielo chiederò!!
(ovviamente con me sì, gioca, con la diatriba tra Linux e Office. Ma ha giurato che mi molla se passo a Mac!).

francoM ha detto...

disattivare le Active X e quanto meno utilizzare un browser diverso da IE !

Turz ha detto...

Non per fare sempre il giullare, ma questa mi sembra in tema:
http://marbella.to/humour/jun00/f1help.jpg

Riguardo al dibattito Windows-Linux:
- Al lavoro purtroppo la dotazione ufficiale è Windows 2000, IE 6 e Outlook. Ovviamente ho subito rimpiazzato gli ultimi 2 con Firefox 3.6 e Thunderbird. E no, non lavoro in Italia (dove comunque avevo pure IE 6 da me rimpiazzato con Firefox).
- A casa sono un felice utilizzatore di Linux Xandros, con l'intenzione di diventare un felicissimo utilizzatore di Linux Ubuntu.
- La mia signora usa Windows, ma se non altro sono riuscito a rendere il suo PC conforme al Dodecalogo.