 |
|
|
Come preannunciato nei giorni scorsi Microsoft ha rilasciato degli
aggiornamenti straordinari dedicati a Visual Studio e Internet
Explorer 8, il tutto è documentato dai bollettini (MS09-034 e MS09-035). Un
commento e una spiegazione dettagliata del problema viene riportata dal
Security Virtualization Blog a cura di Feliciano Intini. Riportiamo qui di
seguito uno dei passaggi fondamentali:
Come suggerisce il titolo dell’Advisory, le vulnerabilità di cui
parliamo sono presenti nell’ Active Template Library (ATL), una libreria di
classi C++ a disposizione degli sviluppatori di applicazioni per
semplificare la programmazione di oggetti COM. Dal momento che gli oggetti
COM più noti e i più comuni sono i controlli ActiveX, li userò come esempio
per chiarire il problema. Supponiamo che uno sviluppatore abbia scritto un
controllo ActiveX da usare in una sua applicazione e per farlo abbia usato
la libreria ATL (come una sorta di mattoncini Lego), nella modalità che
introduce il problema: a questo punto l’ActiveX che lui ha scritto e che ha
distribuito ai suoi clienti è vulnerabile secondo le classiche modalità di
attacco via web. Come vi ho sempre raccontato in questo blog quando vi ho
documentato le vulnerabilità relative ad Internet Explorer, è possibile a
questo punto che un utente, sul cui PC sia presente tale ActiveX vulnerabile,
navigando su una pagina web artefatta ad hoc, riesca ad essere vittima di un
attacco capace di far eseguire del codice non autorizzato sul proprio
computer (esempio: virus/trojan), in grado di agire (e fare danni) in modo
proporzionale ai suoi privilegi (utente amministratore del suo PC=pieni
poteri=rischio maggiore).
Al fine di proteggersi da questa problematica di sicurezza Microsoft
consiglia all'utente finale e alla clientela professionale di abilitare
l'opzione di aggiornamento automatico verificando la corretta installazione
dell'aggiornamento MS09-034. Inoltre si suggerisce l'aggiornamento di
Internet Explorer 8. Per gli sviluppatori, oltre alle indicazioni appena
descritte, Microsoft suggerisce l'installazione dell'aggiornamento
MS09-035 e la consultazione della documentazione dedicata.
Un approfondimento dedicato al cui interno vengono indicate ulteriori fonti
di informazione è disponibile
qui.
|
|
|
|
Commenti (31)
| Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info |
| Commento # 1
di: !fazz
pubblicato il 29 Luglio 2009, 14:28 |
solito metodo di distribuzione che odio, riavvio automatico ed elaborazione andata a quel paese
un giorno di lavoro buttato a quel paese
il riavvio automatico delle macchine è una cosa che proprio non supporto, mettere un avviso e l'autorizzazione dell'utente a procedere è chiedere troppo invece di quel countdown di 5 minuti?
|
|
|
|
| Commento # 2
di: frankie
pubblicato il 29 Luglio 2009, 14:31 |
a me è capitato mentre stavo vedendo un film e puff riavviato.
Manco mi ricordavo di sta cosa, ora ho capito cosa era.
|
|
|
|
| Commento # 3
di: pierluigi.71
pubblicato il 29 Luglio 2009, 14:35 |
Gli aggiornamenti possono essere controllati da "Pannello di controllo/Aggiornamienti automatici" in cui puoi decidere di farli scaricare automaticamente, ma l'installazione la decide l'utente e quindi anche il riavvio della macchina.
|
|
|
|
| Commento # 4
di: gyagi
pubblicato il 29 Luglio 2009, 14:39 |
ma quanto è noioso il popup che viene fuori ogni 2 minuti e mi costringe a star attento a cosa batto sulla tastiera mentre programmo..metti ke x sbaglio batto un invio x andar a capo quando viene fuori il popup e fatalità è mezz'ora ke nn salvo...
Meno male ke gli aggiornamenti automatici li scarica solo quando decido io..
|
|
|
|
| Commento # 5
di: coschizza
pubblicato il 29 Luglio 2009, 14:43 |
| Originariamente inviato da: !fazz | solito metodo di distribuzione che odio, riavvio automatico ed elaborazione andata a quel paese
un giorno di lavoro buttato a quel paese
il riavvio automatico delle macchine è una cosa che proprio non supporto, mettere un avviso e l'autorizzazione dell'utente a procedere è chiedere troppo invece di quel countdown di 5 minuti? |
tutto quello che chiedi è perfettamente confegurabile singolarmente sul pc o in maniera centralizzata se sei in azienda con AD e GPO
se no lo hai fatto o se non lo hanno fatto in azienda è un problema che non riguarda la MS perche è una decisione del cliente |
|
|
|
| Commento # 6
di: coschizza
pubblicato il 29 Luglio 2009, 14:47 |
| Originariamente inviato da: gyagi | ma quanto è noioso il popup che viene fuori ogni 2 minuti e mi costringe a star attento a cosa batto sulla tastiera mentre programmo..metti ke x sbaglio batto un invio x andar a capo quando viene fuori il popup e fatalità è mezz'ora ke nn salvo...
Meno male ke gli aggiornamenti automatici li scarica solo quando decido io.. |
basta configurare diversamente il servizio di aggiornamento per ovviare a questo, per esempio puoi far in modo che le patch non vengano installate se non su conferma dell'utente o posticipate al successivo shutdown. Poi dipende se usi il pc come amministratore o come utente standard. |
|
|
|
| Commento # 7
di: magilvia
pubblicato il 29 Luglio 2009, 14:55 |
tutto quello che chiedi è perfettamente confegurabile singolarmente sul pc o in maniera centralizzata se sei in azienda con AD e GPO
se no lo hai fatto o se non lo hanno fatto in azienda è un problema che non riguarda la MS perche è una decisione del cliente |
E' un problema della microsoft al 100% perchè se sono così cretini da metterla come impostazione di default vuol dire che al 90% degli utenti succederà e con possibile perdita di dati. |
|
|
|
| Commento # 8
di: magilvia
pubblicato il 29 Luglio 2009, 14:56 |
| puoi far in modo che le patch non vengano installate se non su conferma dell'utente o posticipate al successivo shutdown. |
E se io invece volessi un'opzione intelligente che sarebbe "installa tutti gli aggiornamenti ma non chiedermi di riavviare" in modo da avere gli aggiornamenti subito quando possibile e senza rotture di scatole, cos'è? Troppo al di sopra delle capacità della microsoft? |
|
|
|
| Commento # 9
di: dotlinux
pubblicato il 29 Luglio 2009, 14:59 |
Ma se uno non è capace la colpa è di Microsoft?
|
|
|
|
| Commento # 10
di: citty75
pubblicato il 29 Luglio 2009, 15:11 |
A me di default, su Vista, compare il popup che mi chiede di riavviare e posso posticiparlo fino a 4 ore...ma non mi sembra di essere andato a smanettare da qualche parte.
è così da sempre.
|
|
|
|
|
|
Notizia Precedente 
solito metodo di distribuzione che odio, riavvio automatico ed elaborazione andata a quel paese
un giorno di lavoro buttato a quel paese
il riavvio automatico delle macchine è una cosa che proprio non supporto, mettere un avviso e l'autorizzazione dell'utente a procedere è chiedere troppo invece di quel countdown di 5 minuti?