Roma – In Internet Explorer 6 si celano due falle di sicurezza ancora non patchate che, insieme, possono rivelarsi una seria minaccia alla sicurezza e alla privacy degli utenti. A dirlo è Secunia, che in un advisory ha catalogato le due vulnerabilità come “estremamente critiche”.
Gli esperti hanno spiegato che le due falle, in combinazione con altre già note, possono consentire ad un malintenzionato la creazione di pagine Web che, una volta aperte, eseguano automaticamente del codice a scelta con gli stessi privilegi dell’utente locale. Di fatto basta un click sul link “sbagliato” per ritrovarsi nel PC virus, spyware o altri codicilli poco simpatici. Il problema è aggravato dal fatto che sulla lista di sicurezza SecurityFocus è già apparso il codice di un exploit.
Jelmer Kuperus, uno studente olandese che per primo ha pubblicato un’ analisi del problema , sostiene che le due brecce sono già state sfruttate – ben prima che divenissero di pubblico dominio – da alcuni siti Web per installare automaticamente sui computer degli utenti una toolbar di ricerca per IE, I-Lookup, contenente pubblicità. Questo software, che alcune case di antivirus classificano come un vero e proprio cavallo di Troia, cambia la pagina d’apertura di IE e visualizza di frequente dei pop-up contenenti pubblicità, spesso di siti porno.
Secondo Stephen Toulouse, security program manager di Microsoft, l’utilizzo di un exploit per far girare abusivamente dei programmi va considerato “un atto criminale”, e come tale perseguito dalle forze dell’ordine. A tal proposito Toulouse ha fatto sapere che Microsoft ha già contattato l’FBI per le indagini del caso.
Sul proprio sito Kuperus dimostra, attraverso alcuni link, come sia possibile sfruttare la vulnerabilità per aggirare le restrizioni di sicurezza di IE. La debolezza interessa anche i sistemi a cui siano state applicate tutte le patch di Microsoft, mentre viene risolta dalle attuali versioni beta del Service Pack 2 per Windows XP.
Microsoft sostiene di aver appreso dell’esistenza delle due debolezze di IE 6 soltanto negli scorsi giorni, in seguito alla pubblicazione di un advisory sulla lista di sicurezza Full Disclosure. Il colosso si è detto intenzionato a rilasciare le patch non appena saranno ultimate, senza dunque attendere l’aggiornamento mensile di luglio. Nell’attesa, Secunia suggerisce di disabilitare l’esecuzione degli script per tutti i siti non fidati.
Ti potrebbe interessare
11 giu 2004