NOTA del 14.12.01: Microsoft ha appena rilasciato la patch e altri bug fix. Tutte le info si trovano qui .
Web – Dopo i recenti guai con i cookie, Internet Explorer deve ora affrontare un vulnerabilità che, secondo alcuni esperti, potrebbe rappresentare la più grave falla di sicurezza mai scoperta in IE. Ed al momento in cui scriviamo, Microsoft non ha ancora rilasciato una patch al pubblico.
Oy Online Solutions (OOS), la società di sicurezza che ha trovato la falla e ne ha reso pubblica l’esistenza, spiega che la vulnerabilità potrebbe consentire ad un assalitore di indurre gli utenti a scaricare ed eseguire programmi maliziosi contenuti all’interno di pagine Web create ad hoc.
Per dimostrare la gravità del problema, OOS ha spiegato come, sfruttando la falla, un cracker potrebbe essere in grado di diffondere, “con relativa facilità e senza essere notato”, virus, tool DDoS, backdoor o programmi che formattino l’hard disk.
OOS sostiene che la vulnerabilità, che affligge tutte le versioni di IE comprese fra la 5 e la 6, può consentire ad un sito Web aggressivo di mascherare, nel dialogo di download di Internet Explorer, l’estensione di un file: in questo modo è sarebbe possibile far sì che un programma eseguibile appaia come un file di qualunque altro tipo (testo, immagine, audio, ecc.).
Il grosso rischio, ha affermato OOS, è che se l’utente sceglie di aprire il file dalla sua posizione corrente, l’eseguibile verrà lanciato immediatamente, aggirando così le impostazioni di sicurezza del browser (che in genere, prima di lanciare un file eseguibile, chiede conferma all’utente).
Secondo OOS, l’utente non ha modo di verificare se il file che si sta aprendo è davvero un programma “.exe” od un file di qualsiasi altro tipo, tantopiù – sostengono gli esperti di sicurezza – che una volta eseguito, il programma potrà incaricarsi, sviando così ogni sospetto, di lanciare l’applicativo associato all’estensione del file visibile all’utente: il notepad per i “.txt”, il media player per i “.wav”, ecc.
OOS spiega che la falla risiede nel modo in cui IE processa certi tipi di URL e di header HTTP e che la sua più grande pericolosità sta nel fatto che per sfruttarla non occorrono script: sarebbero infatti sufficienti soltanto alcune linee di codice HTML.
Fra le aggravanti al problema c’è il fatto che la vulnerabilità potrebbe affliggere anche tutti i software che si appoggiano su IE per visualizzare documenti Web, fra cui Outlook, Outlook Express e, se attivata l’opzione per l’utilizzo di IE, anche Eudora.
La patch è attualmente ancora in fase di beta testing e, secondo OOS, dovrebbe essere rilasciata da Microsoft a breve. Nel frattempo gli esperti consigliano agli utenti di disabilitare temporaneamente la funzione di download dei file dal pannello raggiungibile da Strumenti / Opzioni Internet / Protezione / Personalizza livello . Un’operazione da svolgere subito senza indugi.
Ti potrebbe interessare
13 dic 2001