IE bisticcia con i tag Object

In Internet Explorer si cela una vulnerabilità di sicurezza legata alla gestione dei tag Object che, secondo gli esperti, potrebbe essere utilizzata dai cracker per attacchi da remoto. Scoperto bug anche in Firefox e Safari
In Internet Explorer si cela una vulnerabilità di sicurezza legata alla gestione dei tag Object che, secondo gli esperti, potrebbe essere utilizzata dai cracker per attacchi da remoto. Scoperto bug anche in Firefox e Safari

Roma – A breve distanza dalla megapatch che ha corretto dieci vulnerabilità di Internet Explorer, un ricercatore di sicurezza ha scoperto nel browser di Microsoft un’inedita debolezza che potrebbe essere sfruttata da remoto.

In questo advisory Michal Zalewski spiega che la nuova vulnerabilità è causata dalla non corretta gestione, da parte di IE, “di certe combinazioni di tag OBJECT nidificati”. Sebbene l’esperto sia cauto nel giudicare la reale gravità della falla, sia Secunia che FrSIRT hanno valutato il bug della massima importanza.

“Degli aggressori possono sfruttare la falla a distanza per prendere il pieno controllo di un sistema vulnerabile”, si legge in un advisory di FrSIRT. Per riuscire nell’attacco, l’aggressore deve indurre l’utente a visitare una pagina web contenente uno script dannoso.

Il problema è stato al momento confermato in IE 5.x e 6.0.

Un bug è stato scoperto negli scorsi anche in Firefox (inclusa l’ultima versione 1.5.0.2) e Safari, ma è stato classificato da Secunia come “non critico”: un cracker potrebbe servirsene per mandare in crash un browser vulnerabile.

Come promesso, negli scorsi giorni Microsoft ha rilasciato una nuova versione del bollettino di sicurezza MS06-015 che, grazie all’aggiornamento di una patch, risolve i problemi di incompatibilità con certi software di HP e Nvidia.

Link copiato negli appunti

Ti potrebbe interessare

26 04 2006
Link copiato negli appunti