Internet Explorer ancora nei guai

Un esperto di sicurezza ha mostrato come una nuova debolezza di Internet Explorer possa essere sfruttata dai cracker per lanciare attacchi del tipo di Download.Ject. Nuove patch in vista
Un esperto di sicurezza ha mostrato come una nuova debolezza di Internet Explorer possa essere sfruttata dai cracker per lanciare attacchi del tipo di Download.Ject. Nuove patch in vista


Roma – All’interno di Internet Explorer si cela una vulnerabilità che, similmente a quella recentemente corretta da Microsoft , potrebbe essere utilizzata in congiunzione con altre falle per attacchi simili all’ormai famoso Download.Ject .

La vulnerabilità, descritta in un advisory apparso su SecurityFocus.com, è contenuta in un componente ActiveX chiamato Application.Shell utilizzato da IE 5.5 e 6.0 su tutte le versioni di Windows, dalla 98 alla Server 2003. La debolezza potrebbe consentire ad una pagina Web malevola di eseguire uno script capace di modificare alcune configurazioni del registro di Windows e spianare la strada ad altre forme di aggressione.

“In congiunzione con altre vulnerabilità potrebbe anche consentire l’esecuzione arbitraria di file eseguibili”, si legge nell’advisory. “In particolare, è stato riportato come sia possibile alterare il registro per annullare l’efficacia di precedenti patch di sicurezza”.

Microsoft ha riconosciuto l’esistenza del problema e si è detta al lavoro sullo sviluppo di una patch. In attesa che il big di Redmond rilasci un fix, l’autore dell’advisory, lo studente olandese Jelmer Kuperus, ha suggerito alcune soluzioni al problema .

Kuperus ha spiegato che la falla da lui descritta è nota da molti mesi, tuttavia fino ad oggi nessuno sembra averle dato l’importanza che merita: da sola, infatti, è quasi innocua, mentre se utilizzata con le falle emerse di recente in IE potrebbe essere utilizzata per installare sui PC cavalli di Troia o sottrarre informazioni riservate.

Di recente alcuni esperti di sicurezza hanno poi fatto notare che la modifica di Microsoft per correggere la debolezza di IE sfruttata da Download.Ject ha un’efficacia soltanto parziale: stando infatti a quanto riportato in questo post apparso sulla mailing-list Full Disclosure, attacchi del genere di Download.Ject sono ancora possibili apportando poche modifiche all’exploit. Microsoft ha ammesso che questa patch è da considerarsi una soluzione solo temporanea al problema e che prossimamente rilascerà una serie di aggiornamenti di sicurezza per IE che dovrebbero risolvere questo ed altri problemi del proprio browser.

Link copiato negli appunti

Ti potrebbe interessare

07 07 2004
Link copiato negli appunti