Roma – A breve distanza dalla megapatch che ha corretto dieci vulnerabilità di Internet Explorer, un ricercatore di sicurezza ha scoperto nel browser di Microsoft un’inedita debolezza che potrebbe essere sfruttata da remoto.
In questo advisory Michal Zalewski spiega che la nuova vulnerabilità è causata dalla non corretta gestione, da parte di IE, “di certe combinazioni di tag OBJECT nidificati”. Sebbene l’esperto sia cauto nel giudicare la reale gravità della falla, sia Secunia che FrSIRT hanno valutato il bug della massima importanza.
“Degli aggressori possono sfruttare la falla a distanza per prendere il pieno controllo di un sistema vulnerabile”, si legge in un advisory di FrSIRT. Per riuscire nell’attacco, l’aggressore deve indurre l’utente a visitare una pagina web contenente uno script dannoso.
Il problema è stato al momento confermato in IE 5.x e 6.0.
Un bug è stato scoperto negli scorsi anche in Firefox (inclusa l’ultima versione 1.5.0.2) e Safari, ma è stato classificato da Secunia come “non critico”: un cracker potrebbe servirsene per mandare in crash un browser vulnerabile.
Come promesso, negli scorsi giorni Microsoft ha rilasciato una nuova versione del bollettino di sicurezza MS06-015 che, grazie all’aggiornamento di una patch, risolve i problemi di incompatibilità con certi software di HP e Nvidia.
Ti potrebbe interessare
27 apr 2006