Tag: browser

Zero-day per Internet Explorer (con fix)

Microsoft ha di uno zero-day per Internet Explorer.

Secondo i ricercatori di Qualysremote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

18/09/2013
Attacco ad Opera

La rete dei computer utilizzati per lo sviluppo di Opera è stata attaccata e compromessa.

Il 19 giugno scorso i tecnici di Opera hanno scoperto

27/06/2013
Finto aggiornamento di Chrome

È tornato ad imperversare≡

12/01/2013
Internet Explorer vi osserva

spider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse.

Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.

La feature potrebbe sembrare utile o innocua, ma bisogna considerare che alcuni sistemi di sicurezza, come Kaspersky, o la funzione integrata della tastiera virtuale di Windows vengono suggeriti come metodi per evitare che i keylogger riescano a carpire le password o altri dati sensibili.

Questi metodi potrebbero essere vanificati da alcune righe JavaScript che si possono vedere in azione qui (ovviamente funziona solo con Internet Explorer).

Contattata da spider.io, Microsoft ha risposto che non ritiene opportuno sistemare il problema. (via Naked Security)

16/12/2012
HTML5: raccolta di vulnerabilità

Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.

Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.

Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui JavaScript, il quale si porta dietro il rischio di attacchi XSS.

HTML5 Security Cheatsheet (altro…)

17/11/2012
Pericolosa vulnerabilità di Internet Explorer

Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

20/09/2012
Vulnerabilità in win32k.sys di Win7/64

<iframe height='18082563'></iframe>

w3bd3vil ha scoperto sembra esserememory corruptionISC)

21/12/2011
Quando esci, ricordati di salvare

Sicuramente molti tra i lettori avranno aderito alla beta della versione 4Release Candidate, quindi si presume che ci sarà un picco nella migrazione a questa versione del browser a breve.
Chi già usa questo prodotto, avrà notato che, a partire dal rilascio 10 della beta, il browser si chiude senza più chiedere se salvare le linguette aperte, dandoci quindi una spiacevole sorprese alla riapertura, quando scopriamo che tutti i siti che stavamo consultando sono improvvisamente andati a farsi benedire.

Una soluzione a questo inconveniente è usare il comando Restore Previous Session che si trova nel menu Historyabout:config nella barra degli indirizzi ed eventualmente confermare il messaggio informativo che appare.

(altro…)

17/03/2011
DNS prefetching: una pessima idea

I browser moderni hanno una funzione apparentemente utile, ma che provoca un notevole e inutile incremento di traffico DNS.

Per rendere più facile la memorizzazione dei siti, esiste un sistema che assegna ad ogni indirizzo (ad esempio 209.62.58.154) uno più nomi a dominio (ad esempio siamogeek.com). Questo accoppiamento è gestito dal DNS.
(altro…)

10/03/2011
Catalessi sugli allori

StatCounter è uno dei tanti siti che offre un servizio di analisi di traffico web. Il sito ha pubblicato una statistica anno su anno secondo la quale Internet Explorer sarebbe sceso poco sotto la quota psicologica del 50% di share.

Per la seconda volta vediamo un browser con quote bulgare di mercato perderle per cause più interne che esterne.

feature
(altro…)

05/10/2010
Scoperto un problema di sicurezza di Firefox

Treatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME (altro…)

17/08/2010
Internet Explorer
Internet Explorer 1.0 su Windows 95
- 16 agosto 1995: 1.0 (che si identificava come 4.40.308)
- 22 novembre 1995: 2.0
- 13 agosto 1996: 3.0
- Settembre 1997: 4.0
- 18 marzo 1999: 5.0
- 27 agosto 2001: 6.0
- 18 ottobre 2006: 7.0
- 19 marzo 2009: 8.0
Quindici anni di Internet Explorer, non senza sofferenze, specialmente nei primi anni. Una fama raggiunta soprattutto grazie a scelte completamente sbagliate di Netscape quando era lui ad avere il mercato in pugno. Un monito che nessun produttore di software dovrebbe ignorare. (via Slashdot)
16/08/2010