IE e i pasticci della patch open source

Una società corregge una grave falla introdotta con una patch open source per Internet Explorer. Gli esperti suggeriscono di aspettare il rilascio di una patch ufficiale da parte di Microsoft
Una società corregge una grave falla introdotta con una patch open source per Internet Explorer. Gli esperti suggeriscono di aspettare il rilascio di una patch ufficiale da parte di Microsoft


Roma – La scorsa settimana Openwares.org , una società che fornisce servizi per la pubblicazione e il marketing di software open source e freeware, ha rilasciato una patch per correggere una vulnerabilità scoperta di recente in Internet Explorer.

La patch, distribuita in un file chiamato IEpatch.exe e corredata del codice sorgente , avrebbe dovuto impedire che un malintenzionato potesse sfruttare il bug di IE per mascherare il vero indirizzo di una pagina Web. In realtà, secondo alcuni esperti di sicurezza, la correzione non solo risolve il problema solo parzialmente, ma rischia anche di fare più danni di quanti ne corregge.

La prima versione del fix conteneva infatti alcuni problemi di sicurezza, fra cui un buffer overflow, che un cracker avrebbe potuto sfruttare per prendere il controllo di un sistema da remoto. Questo ha costretto Openwares.org a rilasciare una nuova patch aggiornata che corregge tutti i bug noti.

Nonostante la pubblicazione della versione rivista e corretta, gli esperti di sicurezza continuano a sconsigliare l’installazione della patch open source: il rischio, secondo loro, è che possa introdurre effetti collaterali o incompatibilità con le future correzioni di Microsoft.

Insieme alla patch, Openwares.org ha pubblicato un bollettino di sicurezza in cui classifica la vulnerabilità di IE con il massimo grado di rischio. Nella stessa pagina, la società fornisce anche il link a due esempi che mostrano come sia possibile sfruttare la falla per ingannare gli utenti e fargli credere di stare visitando un sito differente da quello aperto nel browser.

Il big di Redmond, che ha sviscerato il problema di sicurezza in un recente articolo tecnico , ha promesso di rilasciare una patch ufficiale in tempi rapidi.

Link copiato negli appunti

Ti potrebbe interessare

21 12 2003
Link copiato negli appunti