Redmond (USA) – Microsoft ha corretto due vulnerabilità, entrambe classificate come “critiche”, di cui si era già trattato di recente: una riguardante il client Gopher di Internet Explorer ed una riguardante il controllo ActiveX MSN Chat incluso in alcune versioni di MSN Messenger e Exchange Instant Messenger.
Nel primo caso, trattato nel bollettino di sicurezza MS02-027 , Microsoft ha ammesso l’esistenza della vulnerabilità pubblicizzata la scorsa settimana dalla società di sicurezza Oy Online Solutions (OOS), promettendo il rilascio di una patch in tempi brevi.
Il big di Redmond è apparso abbastanza stizzito dal fatto che OOS abbia divulgato la notizia della falla prima che fosse disponibile una patch. Dal canto suo, la società di sicurezza finlandese sostiene di aver atteso 15 giorni prima di pubblicare un advisory che, a suo dire, non conteneva né exploit né dettagli approfonditi sulla falla.
Rispetto a quanto già detto dall’ advisory di OOS , Microsoft ha aggiunto che la porzione di codice fallato – quella che gestisce le risposte provenienti dai server Gopher – è presente non solo in Internet Explorer, ma anche in Proxy Server 2.0 e in ISA Server 2000. Questo rende di fatto la falla ancor più grave di quanto stimato inizialmente visto che può spalancare le porte ai cracker non solo sui sistemi client, ma anche su quelli server.
Come si ricorderà, infatti, la vulnerabilità consente ad un aggressore di sfruttare la falla attraverso una pagina o un’e-mail HTML e di eseguire codice arbitrario sulla macchina remota.
Microsoft, che conferma l’esistenza del problema in tutte le attuali versioni di IE ancora supportate, suggerisce a utenti e amministratori di rete di disattivare, in attesa del rilascio di una patch, il protocollo Gopher.
Per quanto riguarda il buco nel controllo MSN Chat, di cui Microsoft parla nel bollettino di sicurezza MS02-022 , la patch era già stata rilasciata all’inizio di maggio ma, a quanto pare, non era sufficiente a proteggere l’utente dalla possibilità che il famigerato controllo ActiveX potesse far ritorno nel sistema. E così Microsoft ha rilasciato una nuova toppa, scaricabile qui , e nuove versioni aggiornate del controllo MSN Chat, di MSN Messenger e di Exchange Instant Messenger.
Ti potrebbe interessare
13 giu 2002