Letta 3721 volte 24 marzo 2009 alle 22.28 di netquik Fonte: SRD Blog
IE8 Blocca Bypass ".NET DEP+ASLR"
LINK:
In un intervento sul blog ufficiale "Security Research & Defense", Microsoft informa che il nuovo browser Internet Explorer 8 include capacità di blocco per un noto meccanismo di bypass delle tecnologie di protezione DEP e ASLR di Windows Vista via .NET framework, metodologia di attacco dimostrata con successo dai ricercatori di sicurezza Alexander Sotirov e Mark Dowd nel corso dell'ultima conferenza BlackHat l'estate scorsa.

xlink Internet Explorer 8 Finale  -  Microsoft Internet Explorer 8 RC1  -  Altre 

L'approccio presentato dai due ricercatori permetteva ad eventuali attacker di utilizzare le DLL di .NET framework per allocare pagine eseguibili di memoria in location prevedibili all'interno del processo iexplore.exe. I due ricercatori avevano inoltre brillantemente dimostrato come il comportamento di .NET potesse essere combinato con una diversa vulnerabilità sfruttabile di corruzione della memoria per eseguire codice arbitrario. Maggiori dettagli sono disponibili nel paper tecnico realizzato da Sotirov e Dowd.

Da Security Research & Defense Blog: "Impariamo sempre dalla community di sicurezza. Il feedback che riceviamo dalla community non ha prezzo. Si tratta solitamente una punto di vista diverso sui nostri prodotti che possiamo utilizzare per aiutare a proteggere i clienti. La scorsa settimana, il team di IE ha lanciato IE8 con una interessante funzione di mitigazione che deriva direttamente dal feedback della community di sicurezza. La release finale di Internet Explorer 8 su Windows Vista blocca il meccanismo di bypass .NET DEP+ASLR dai siti nocivi su Internet. Nello specifico IE8 ha creato un nuova URLAction che regola il caricamento del filtro .NET MIME. In modo predefinito, la URLAction gli impedisce di caricarsi nelle Aree Internet e Restricted. Il filtro .NET MIME può caricarsi in modo predefinito nella Intranet Zone.

xlink IE8 in Windows 7 Beta: Dettagli  -  IE8: Nuova Interim Build  -  Altre 

IE8 è una tecnologia alquanto interessante. Lo abbiamo utilizzato internamente da un po' di tempo. Una delle cose migliori è il livellamento delle difese sulle difese. Nessun browser è sicuro al 100% ma speriamo che continuando ad aggiungere protezioni saranno sempre più difficile sfruttarli. Abbiamo sentito da ricercatori di sicurezza e programmatori di exploit sia al CanSecWest la scorsa settimana sia al SOURCE Boston la settimana prima che scrivere codici exploit per Windows Vista è 'molto, molto difficile' con tutti questi metodi di mitigazione da aggirare. Prevediamo che il blocco del bypass .NET DEP+ASLR renderà questo ancor più arduo".
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Microsoft non ha ancora svelato dettagli sui suoi piani di sviluppo dela prossima versione del web browser Internet Explorer, IE 8.0. Durante la conferenza MIX07 tuttavia, Chris Wilson, platform archi… 2 maggio 2007
Così come accaduto a Febbraio 2005, con l'annuncio di Internet Explorer 7.0, Bill Gates, Chairman di Microsoft, ha rispettato la tradizione parlando per primo della prossima versione del browser del c… 6 dicembre 2007
Mary Jo Foley, blogger per ZDNet ed "occhio sempre aperto su Microsoft", ha pubblicato le sue 10 previsioni riguardo quello che vedremo "nella terra di Microsoft" nel 2008. Nei suoi presagi, Foley ha…19 dicembre 2007
ULTIME NEWS - EXPLORER
In occasione della keynote del secondo giorno del MIX09, Microsoft ha annunciato la disponibilità della versione finale di Windows Internet Explorer 8, nuova release del popolare browser che introduce…19 marzo 2009
Microsoft ha rilasciato Internet Explorer 8 Release Candidate (RC) 1, ultima versione pubblica di test della nuova versione del popolare browser dell'azienda, prima del debutto finale del prodotto; IE…27 gennaio 2009
In un intervento sul blog ufficiale degli sviluppatori di Internet Explorer, Paul Cutsinger, Principal Lead Program Manager per IE, ha presentato la versione Beta del popolare browser inclusa nella re…12 gennaio 2009
 ONLINE
OSPITI 2
UTENTI 0
VISITE OGGI
38
 VISITE TOTALI
5.793.130
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X