Redmond (USA) – A pochi giorni dal rilascio della megapatch di Internet Explorer, alcuni utenti hanno lamentato il crash del proprio browser nel visitare alcune pagine Web che, in precedenza, non avevano mai dato nessun problema.
Microsoft ha confermato l’esistenza del problema considerandolo però normale conseguenza dell’eliminazione da IE di alcune vulnerabilità di sicurezza legate alla direttiva “execScript” di VBScript.
“Il problema non pone nessun rischio per la sicurezza. Il problema riguarda la stabilità. La normale operatività può essere ristabilita riavviando IE”, ha scritto Microsoft in un comunicato di venerdì. “Microsoft Product Support Services sta lavorando con i propri clienti per implementare una soluzione al problema”.
Il big di Redmond dovrebbe rilasciare a breve una patch ed un documento rivolto agli amministratori di siti Web in cui verrà descritto il modo per modificare il codice ASP contenente la direttiva incriminata.
Le segnalazioni pervenute da vari utenti sembrano indicare che fra i servizi on-line interessati dal problema “post-patch” vi siano diversi strumenti di gestione e amministrazione remoti via Web, fra cui quelli di HP (JetAdmin) e DoubleClick.
Questo non è l’unico problema che Microsoft si è ritrovata a fronteggiare questo fine settimana. Il secondo riguarda la scoperta, in un tool che avrebbe dovuto incrementare la sicurezza del compilatore Visual C++.NET integrato nel giovanissimo Visual Studio.NET , di un bug che inficerebbe la sicurezza del codice generato con questo strumento.
La falla, scoperta dalla firma di sicurezza Cigital e presente anche nella versione 7 del compilatore C++ di Microsoft, potrebbe indurre gli sviluppatori a scrivere programmi vulnerabili ai temuti attacchi di tipo buffer overflow.
Update : Microsoft ha pubblicato una lettera in cui sostiene l’infondatezza dell’annuncio di Cigital. E’ possibile leggerla qui
Ti potrebbe interessare
18 feb 2002