Web – Il cacciatore di bachi Georgi Guninski ha scoperto un altro bug di Internet Explorer che potrebbe consentire ad un cracker di leggere da remoto il contenuto di documenti archiviati sul PC di un utente.
La vulnerabilità, correlata e molto simile ad una già scoperta da Guninski nel settembre del 2000, affliggerebbe tutte le versioni di IE 6.0 e la versione per Windows 2000 di IE 5.5. Guninski sostiene che il bug potrebbe interessare anche altre versioni non testate del browser.
Stando al bollettino di sicurezza pubblicato dal bug hunter bulgaro, la nuova falla si rivelerebbe attraverso la funzione “GetObject()” di JScript (la versione di JavaScript di Microsoft) in combinazione con l’oggetto ActiveX “htmlfile”.
Similmente a quanto succedeva con la vecchia vulnerabilità, Guninski sostiene che la nuova falla permette ad un programmatore di passare alla funzione GetObject il nome ed il percorso di un documento situato sul PC di un utente e leggerne il contenuto.
A mitigare la pericolosità di questo bug interverrebbe il fatto che l’assalitore deve prima indurre l’utente a visitare le proprie pagine web e deve già conoscere il nome e la posizione del file da leggere. Pare inoltre che lo script utilizzato per sfruttare la vulnerabilità non possa essere utilizzato per confezionare e-mail aggressive.
Guninski, che in passato è stato più volte criticato da Microsoft per la sua estrema solerzia nel divulgare al grande pubblico falle ed exploit, sostiene di aver avvisato il big di Redmond dell’esistenza del bug l’11 dicembre scorso.
“Hanno avuto tre settimane per creare una patch, ma non l’hanno fatto”, ha concluso l’esperto nel proprio bollettino di sicurezza.
Ti potrebbe interessare
3 gen 2002