IE vittima dei download silenti

In Internet Explorer è stata scoperta una vulnerabilità utilizzabile per aggirare il meccanismo di sicurezza dei download, incluso quello integrato nell'SP2 per Windows XP. Nuova patch in vista?
In Internet Explorer è stata scoperta una vulnerabilità utilizzabile per aggirare il meccanismo di sicurezza dei download, incluso quello integrato nell'SP2 per Windows XP. Nuova patch in vista?


Roma – Sfruttando una vulnerabilità contenuta nel meccanismo di protezione dei download di Internet Explorer, un malintenzionato potrebbe scaricare un file malevolo sul PC di un utente senza che questi se ne accorga.

A scoprire la debolezza è stato un hacker che si fa chiamare Rafel Ivgi, lo stesso che, in questo advisory , ha pubblicato il codice sorgente dell’exploit con cui è possibile sfruttare la falla: Microsoft , come noto, è fortemente contraria alla divulgazione dei dettagli relativi a falle ancora senza patch.

Il problema di sicurezza, confermato da Symantec , interessa anche la versione di IE contenuta nel Service Pack 2 per Windows XP. Un aggressore può sfruttare la vulnerabilità creando un documento HTML che, una volta aperto o cliccato, avvia il download di un file senza mostrare la classica finestra di conferma: in questo modo un sito Web malevolo potrebbe diffondere, ad esempio, virus e altri tipi di malware.

La falla non può essere utilizzata per eseguire un file, tuttavia il timore degli esperti di sicurezza è che i cracker se ne possano servire in congiunzione con altri bug di IE.

Microsoft non ha ancora rilasciato commenti ufficiali in merito al problema.

All’inizio di gennaio sono state scoperte due vulnerabilità anche nei browser Mozilla e Firefox, tra cui una utilizzabile da un sito malevolo per mascherare, nella finestra di dialogo dei download, la vera origine di un file.

Link copiato negli appunti

Ti potrebbe interessare

16 01 2005
Link copiato negli appunti