Grave falla in Internet Explorer (2)

Dettagli tecnici.



[ZEUS News - www.zeusnews.it - 14-12-2001]

Per sfruttare questa falla è sufficiente il normale linguaggio HTML delle pagine Web; non occorrono script o altro, per cui è inutile tentare di difendersi disattivando Active Scripting, Java, ActiveX, Javascript e simili.

Salvando il file su disco, la vera natura del file viene rivelata.

Oy Online Solutions ha promesso di divulgare maggiori dettagli e forse una dimostrazione pratica entro qualche giorno.

Come mai soltanto Internet Explorer ha questo difetto? Secondo Slashdot, è tutta colpa del fatto che Microsoft ha scelto di integrare il browser direttamente nel sistema operativo. I file ricevuti da un browser tramite il protocollo HTTP dovrebbero essere gestiti in un modo o in un altro a seconda della sezione content-type trasmessa dal server Web. Ad esempio, quando ricevete una pagina Web, il server ve la manda accompagnata da un'intestazione che specifica text/html. Traduzione: ti passo un file, è un documento di testo che contiene codici HTML, usalo di conseguenza. Questo dovrebbe succedere anche se il nome del file non ha le canoniche estensioni .htm, html e simili.

In altre parole, il tipo di file (testo, grafica, audio) non viene identificato in base al nome del file, ma in base al Content-Type che viene trasmesso dal server web. Questo dicono le regole.

In Windows, invece, la scelta di come gestire un file avviene in modo diverso: guardandone l'estensione. Se un file ha l'estensione .exe è un programma, se ha l'estensione .pdf è un documento Acrobat, se ha l'estensione .jpg è un'immagine, e così via. Windows non esamina il contenuto del file per vedere se davvero si tratta di un documento del tipo indicato dall'estensione presente nel suo nome. E' per questo che se prendete un file MP3 e gli date l'estensione .doc, Windows lo passerà a Word per aprirlo invece di suonarlo con WinAmp o Media Player.

Il guaio è che integrando il browser nel sistema operativo, questi due metodi per riconoscere i file vengono usati insieme e un po' a casaccio. In alcuni casi, Internet Explorer guarda il Content-Type; in altri guarda l'estensione del nome del file. La trappola scatta quando un utente malintenzionato riesce ad assegnare a un file un content-type diverso da quello che gli spetterebbe: ad esempio assegnando il content-type text/html a un programma, che viene quindi eseguito e può fare qualsiasi cosa, compreso formattare il vostro disco rigido o installarvi una backdoor.

Questa falla, secondo Slashdot, è la diretta conseguenza del fatto che Microsoft ha scelto di ignorare gli standard per la gestione dei file scaricati dal Web (le cui specifiche sono disponibili qui) per imporre un proprio standard che le faceva comodo. Meditate, amici, meditate!

1 - Sembra un file di testo ma...
2 - Dettagli tecnici

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
L'aggravarsi del tasso di inquinamento atmosferico fa assumere alle amministrazioni comunali la decisione di bloccare la circolazione delle auto. Cosa ne pensi?
Era ora: si tratta di una misura necessaria e urgente.
I blocchi del traffico sono inutili e peggiorano la vita delle persone.
Sono d'accordo, ma i provvedimenti dovrebbero essere più incisivi (o addirittura permanenti).
Sarei d'accordo solo se prima venissero potenziati i trasporti pubblici.
Non so.

Mostra i risultati (1604 voti)
Maggio 2024
Il reddito universale di base secondo OpenAI
Windows 11 24H2 cripta tutti i drive all'insaputa dell'utente
L'app per snellire Windows 11 rimuove anche la pubblicità
Netflix, utenti obbligati a passare agli abbonamenti più costosi
Aprile 2024
MS-DOS 4.00 diventa open source
Enel nel mirino dell'Antitrust per le bollette esagerate
TIM, altre ''rimodulazioni'' in arrivo
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
Hype e Banca Sella, disservizi a profusione
Falla nei NAS D-Link, ma la patch non arriverà mai
La navigazione in incognito non è in incognito
Le tre stimmate della posta elettronica
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
Buone azioni e serrature ridicole
Il piano Merlyn, ovvero la liquidazione di Tim
Tutti gli Arretrati
Accadde oggi - 15 maggio


web metrics