Redmond (USA) – Sembra avere una portata molto ampia la nuova vulnerabilità scoperta in Windows e classificata da Microsoft con il più alto grado di rischio. La falla, descritta nel bollettino di sicurezza MS03-008 , interessa tutte le versioni di Windows a partire dalla 98, rappresentando dunque una potenziale minaccia per buona parte degli utenti dei sistemi operativi di Microsoft.
La falla si annida nel Windows Script Engine (WSE), un componente utilizzato da Windows per eseguire script scritti in Visual Basic Script o in JScript, il dialetto del linguaggio Java Script utilizzato da Microsoft. È proprio nel modo in cui il WSE gestisce quest’ultimo tipo di codice che esiste una vulnerabilità sfruttabile da un aggressore per eseguire del codice a sua scelta e ottenere i privilegi dell’utente locale. L’attacco può essere effettuato attraverso una e-mail o una pagina web contenenti uno script malevolo.
Fra i fattori mitiganti Microsoft cita la necessità, per un aggressore, di persuadere l’utente ad aprire una certa e-mail o pagina web, e il fatto che Outlook 2002 e Outlook Express 6.0, nonché Outlook 98 e 2000 a cui sia stato applicato l’ Email Security Update , non consentono l’esecuzione automatica degli script.
Sul proprio bollettino Microsoft fornisce i link alla patch disponibile per tutti i sistemi operativi afflitti dal problema: 98, 98SE, Me, NT4, 2000 e XP. Il fix può essere scaricato anche attraverso il Windows Update o la funzione Aggiornamenti automatici . Gli esperti di sicurezza ricordano come sia possibile proteggersi da questa ed altre falle simili disabilitando l’active scripting da Internet Explorer.
In congiunzione con il succitato bollettino di sicurezza, Microsoft ha pubblicato anche l’advisory MS03-009 che riguarda una vulnerabilità presente nell’Internet Security and Acceleration (ISA) Server 2000. La falla, il cui fattore di rischio è stato valutato come moderato, potrebbe essere sfruttata da un aggressore per lanciare attacchi di tipo denial of service.
Ti potrebbe interessare
21 mar 2003