Internet Explorer, nuova patch in vista

Rivelati i dettagli di una falla al BlackHat 2010. Microsoft corre ai ripari, preparando una patch, ma minimizza la portata del rischio

Roma – Nella serata di ieri Microsoft ha pubblicato un advisory di sicurezza in cui descrive una vulnerabilità che interessa tutte le versioni ancora in circolazione di Internet Explorer. Il problema è lo stesso che era stato segnalato due settimane fa dal ricercatore Jorge Luis Alvarez Medina, e di cui ieri lo stesso Medina ha divulgato i dettagli ( qui una sintesi) in occasione della conferenza Black Hat .

Microsoft spiega che la vulnerabilità può essere sfruttata da malintenzionati per ottenere l’accesso ai file archiviati su di un PC e, di conseguenza, a informazioni potenzialmente sensibili. Il problema, come spiegato da Vupen Security , è causato dal fatto che “il browser non impedisce ai contenuti locali di essere renderizzati come HTML attraverso il protocollo file:// “. Un aggressore potrebbe essere in grado, inducendo un utente a visitare una pagina web maligna, di “leggere il contenuto del file index.dat e di conseguenza – continua Vupen – di vedere i cookie presenti sul sistema, ed eventualmente altri contenuti presenti nella cache del browser”.

Perché un aggressore possa leggere un file della vittima, però, deve conoscerne in anticipo nome e percorso (ad esempio, C:UtentiPincoPalloDocumentihelloworld.txt ). Feliciano Intini, chief security advisor di Microsoft Italia, fa poi notare sul proprio blog che il percorso a quelle cartelle che, dal punto di vista della privacy, sono considerate più sensibili, comporta la conoscenza del nome utente (nell’esempio precedente, PincoPallo ).

A mitigare ulteriormente la pericolosità e la portata del problema interviene poi il fatto che, secondo BigM, le versioni di IE che girano nella Modalità Protetta non sono esposte a questa vulnerabilità. Dal momento che la Modalità Protetta è una caratteristica predefinita nelle versioni di IE che girano sotto Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, Microsoft sostiene che gli utenti maggiormente a rischio sono quelli che usano Windows XP o che hanno disattivato manualmente la Modalità Protetta.

“Al momento non si è a conoscenza di alcun attacco o situazione di rischio per i clienti” dichiara Intini. “Ovviamente, come di routine, si terrà sotto controllo l’evoluzione dello scenario di rischio, mentre contemporaneamente si sta già provvedendo alla realizzazione di un aggiornamento correttivo e al suo test qualitativo”.

Nel frattempo, gli utenti di Windows XP possono proteggersi da eventuali attacchi futuri seguendo i suggerimenti forniti da Microsoft nella sezione Suggested Actions – Workarounds del citato advisory di sicurezza, oppure applicando questo Fix It automatizzato.

“Per tutti vale il suggerimento di sempre, e questa situazione continua a confermarne la validità: non c’è miglior tutela rispetto ai rischi di sicurezza e loro evoluzioni che dotarsi della combinazione più recente di software” conclude Intini. “Per la piattaforma Microsoft questo vuol dire installare Internet Explorer 8 e scegliere di adottare/migrare a Windows 7 appena possibile”.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Un Lettore scrive:
    Due prodotti
    "La scelta sembra dunque essere tra il restare sulla linea degli ereader come finora si sono visti (eventualmente rispondendo a iPad con un calo di prezzi) e il cambiare rotta verso la multifunzionalità e i contenuti interattivi. Ma perdendo qualcosa della natura originale."Magari semplicemente usciranno prodotti diversi con diverse caratteristiche...uno più multimediale ed uno più dedicato alla lettura, fino a che non ci sarà una tecnologia capace di unire le diverse prerogative.
    • ruppolo scrive:
      Re: Due prodotti
      - Scritto da: Un Lettore
      "La scelta sembra dunque essere tra il restare
      sulla linea degli ereader come finora si sono
      visti (eventualmente rispondendo a iPad con un
      calo di prezzi) e il cambiare rotta verso la
      multifunzionalità e i contenuti interattivi. Ma
      perdendo qualcosa della natura
      originale."
      Magari semplicemente usciranno prodotti diversi
      con diverse caratteristiche...uno più
      multimediale ed uno più dedicato alla lettura,
      fino a che non ci sarà una tecnologia capace di
      unire le diverse
      prerogative.No, perché i contenuti non sarebbero interoperabili. Un lettore come il Kindle non può visualizzare né contenuti a colori né video. Quindi io cliente Amazon sarei costretto ad acquistare o l'una o l'altra versione, e ricomprare tutto se decido di cambiare dispositivo (della stessa casa, intendiamoci!).
      • Paperoliber o scrive:
        Re: Due prodotti
        Magari un solo prodotto che quando visualizza i testi si "spegne" e diventa leggibile come un Kindle ed invece si accende e diventa Multitouch per i contenuti multimediali...
Chiudi i commenti