Notizie Vulnerabilita' Una falla grave e senza patch per Internet Explorer I tetti di Roma
 |
| Una falla grave e senza patch per Internet Explorer |
|
|
| Scritto da Valentina | |
| Wednesday 13 July 2005 | |
|
Ancora una vulnerabilità grave per il browser di Microsoft, a darne l'annuncio SEC Consultant, che, oltre a scoprirla, ha diramato anche un exploit per lo sfruttamento. Tutti gli esperti lanciano l'allarme rosso. Una nuova vulnerabilità, ancora per Microsoft e soprattutto ancora per Explorer. Il bug è stato scoperto e annunciato dalla SEC Consult, società viennese specializzata in sicurezza informatica, ed è considerato il più pericoloso degli ultimi mesi. Ad aumentare il rischio c'è anche la pubblicazione da parte della SEC Consult di un'exploit per sfruttare la falla, a quanto dichiarato, infatti, la segnalazione della vulnerabilità è stata fatta alla Microsoft per la prima volta il 17 giugno. Dal canto suo la stessa Microsoft ha rilasciato il primo luglio un avviso di pericolosità su questa falla, che rimane però a tutt'oggi senza patch, e la cosa rientra perfettamente nella nuova politica sulla sicurezza. Nello stesso avviso l'azienda di Redmond dichiara il massimo impegno per l'analisi e la risoluzione del problema, e raccomanda inoltre agli utilizzatori del browser di impostare al massimo livello la protezione (in Explorer: Opzioni Internet -> Protezione -> Internet -> Livello Personalizzato, bisogna mettere la levetta virtuale su "Alta"), consiglio che si estende anche alla intranet locale degli utenti aziendali. La vulnerabilità è causata da un errore di programmazione in un oggetto di Explorer, il "COM javaprxy.dll", così almeno è stato dichiarato dalla FrSIRT, altra società specializzata nel settore, che definisce la falla degna del massimo grado di allerta. In pratica quando è attivato un certo tag HTML, se si finisce su una pagina appositamente creata, si può lasciare il proprio sistema in mano al controllo di altri da remoto. Tra le conseguenze del corretto sfruttamento della falla ci sono quindi il crash di Explorer e l'esecuzione di codice non desiderato. Le versioni del browser Microsoft a rischio sono tutte le 5.01, 5.5 e 6.0, se combinate con l'utilizzo della Microsoft Java Virtual Machine. La presenza del problema può essere individuata da un tool gratuito. Il prossimo martedì (12 luglio) sarà il patch day per Microsoft. Nonostante la criticità della situazione è poco probabile che arrivi una toppa per questa nuova falla, almeno così si può dedurre dai comportamenti passati del colosso di Bill Gates. A questo punto però non si sa se augurarsi che avvenga prima l'uscita della patch o quella del nuovo browser di casa Microsoft, sperando che almeno Internet Explorer 7 non sia un colabrodo come il suo predecessore. Articoli correlati: In circolazione exploit per le falle di Outlook Express e Windows |
| < Prec. | Pros. > |
|---|
Ydea S.r.l. P.I.07450431007
Joomla! un software libero rilasciato sotto licenza GNU/GPL.
