Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing' ![Crea PDF]( "Crea PDF")
![Banca dati, normativa sulla sicurezza]()
Vulnerabilita’ critiche
Nel mese di agosto Microsoft ha rilasciato una patch cumulativa per eliminare tutte le vulnerabilità presenti in Internet Explorer (versioni 5.01, 5.5, 6.0, 6.0 per Windows Server 2003), compresi tre “bachi” recentemente scoperti.
La più grave delle nuove vulnerabilità identificate può consentire l'esecuzione di codice arbitrario sul sistema dell'utente.
“Inducendo l'utente a visitare un sito Web opportunamente predisposto, è possibile sfruttare la vulnerabilità senza che sia necessario alcun altro intervento. Un utente malintenzionato - precisa il bollettino di sicurezza - potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questa vulnerabilità.”
Il livello di gravità è definito “critico”, tuttavia vi sono alcuni fattori attenuanti.
Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. (Tuttavia nei casi in cui questa configurazione sia stata modificata le misure di sicurezza che impediscono lo sfruttamento della vulnerabilità sono eliminate).
L'autore dell'attacco non può in alcun modo obbligare gli utenti a visitare un sito Web nel quale nasconde il “codice malizioso”. L’assalitore deve “ attirare” le vittime, inducendole ciccare su un collegamento al proprio sito.
Attenzione, quindi, ai siti che visitate…
Ultimo fattore attenuante il fatto che il codice eseguito nel sistema inoltre dispone unicamente dei privilegi dell'utente connesso.
La patch è scaricabile dal bollettino di sicurezza MS03-032.
La più grave delle nuove vulnerabilità identificate può consentire l'esecuzione di codice arbitrario sul sistema dell'utente.
“Inducendo l'utente a visitare un sito Web opportunamente predisposto, è possibile sfruttare la vulnerabilità senza che sia necessario alcun altro intervento. Un utente malintenzionato - precisa il bollettino di sicurezza - potrebbe inoltre creare un messaggio di posta HTML predisposto in modo da consentire lo sfruttamento di questa vulnerabilità.”
Il livello di gravità è definito “critico”, tuttavia vi sono alcuni fattori attenuanti.
Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. (Tuttavia nei casi in cui questa configurazione sia stata modificata le misure di sicurezza che impediscono lo sfruttamento della vulnerabilità sono eliminate).
L'autore dell'attacco non può in alcun modo obbligare gli utenti a visitare un sito Web nel quale nasconde il “codice malizioso”. L’assalitore deve “ attirare” le vittime, inducendole ciccare su un collegamento al proprio sito.
Attenzione, quindi, ai siti che visitate…
Ultimo fattore attenuante il fatto che il codice eseguito nel sistema inoltre dispone unicamente dei privilegi dell'utente connesso.
La patch è scaricabile dal bollettino di sicurezza MS03-032.
Pubblica un commento
Ad oggi, nessun commento è ancora stato inserito.Banca Dati di PuntoSicuro
