Visita Orebla.it su Facebook Segui Orebla.it su Twitter Vedi i video su YouTube di Orebla.it Unisciti alle cerchie di Orebla.it
DOVE TI TROVI: \\ Home Page\news\Grave falla su Windows Shell
Grave falla su Windows Shell


In questi giorni la Mozilla Foundation ha il suo bel lavoro da fare per aggiustare qualche bug scovato in Firefox, per˛ il lavoro non manca di certo alla Microsoft. Una falla scovata, a luglio, nella Windows Shell Ŕ stata riaperta in quanto ora Ŕ disponibile il PoC per sfruttarla.

Come sempre il problema pu˛ essere sfruttato tramite alcuni controlli ActiveX richiamati dal noto browser Internet Explorer, pi¨ in dettaglio il bug Ŕ presente nel controllo WebViewFolderIcon (libreria: webvw.dll).

La vulnerabilitÓ darebbe la possibilitÓ di eseguire codice da remoto e poi prendere il controllo della macchina attaccata.

Il rilascio del proof of concept ha dato la possibilitÓ ai virus writer di studiare lo sfruttamento di tale vulnerabilitÓ, infatti potete anche voi vederne una prova a questo indirizzo: LINK.

Secunia ha pubblicato un advisory in cui classifica il bug come "estremamente critico" e elenca come vulnerabili Windows XP SP2, Windows 2000 e Windows 2003. Sebbene che questi ultimi due sistemi operativi abbiano impostazioni tali di sicurezza da impedire l'esecuzione dell'exploit per tale vulnerabilitÓ, ho preferito inserirli lostesso.

Quindi la pericolositÓ si concentra su Win XP con Service Pack 2 e su Internet Explorer 6, ovviamente con tutte le patch installate corretamente.

Come di consueto Microsoft non prevede il rilascio di patch "straordinarie" ma la correzione sarÓ inserita nel pacchetto cumulativo di aggiornamenti del 10 ottobre.

Al momento per˛ il Big di Redmond ha rilasciato alcuni workarounds per tappare momentaneamente il problema.

Li potete trovare nell'advisory rilasciato da Microsoft a questo indirizzo: http://www.microsoft.com/technet/security/advisory/926043.mspx.

Le soluzioni "momentanee" vanno dalla disattivazione dei controlli ActiveX, oppure di settare Internet Explorer per avvisare prima dell'esecuzione di qualsiasi codice.

 

Autore articolo: Orebla

Commenti:

Nessun Commento a questa News...

I commenti per queste news sono disabilitati.






Articoli utili:
Jailbreak iOS 10: tweaks compatibili

Recensione iPhone 6

IPhone 7 uscito, novita, prezzi