Nuova megapatch per Internet Explorer

Microsoft ha rilasciato una patch cumulativa dedicata a Internet Explorer 5 e 6 che corregge due nuove falle, fra cui una considerata di grave entità
Microsoft ha rilasciato una patch cumulativa dedicata a Internet Explorer 5 e 6 che corregge due nuove falle, fra cui una considerata di grave entità


Redmond (USA) – La scorsa settimana Microsoft ha rilasciato una patch cumulativa per le versioni 5.01, 5.5 e 6.0 di Internet Explorer che, oltre a contenere tutti i precedenti bug fix, elimina due nuove vulnerabilità, fra cui una classificata da Microsoft come “critica”.

La falla più seria – secondo quanto riportato nel bollettino di sicurezza di Microsoft – potrebbe consentire ad un aggressore di inglobare all’interno di un cookie uno script in grado di essere eseguito all’interno dell’area di protezione di IE “Intranet locale”, assai meno restrittiva rispetto a quella “Internet” tipicamente assegnata agli script scaricati dal Web. Questo potrebbe costituire un serio pericolo per la sicurezza e la privacy degli utenti anche se, fra i fattori mitiganti, Microsoft cita il fatto che lo script può girare solo con i diritti specifici dell’utente che lo esegue.

La seconda falla, sebbene meno grave della precedente, è divenuta molto popolare sul Web, specie perché si presta bene a fare scherzetti agli utenti. Questa vulnerabilità, che riguarda il modo in cui IE gestisce i tag “Object” all’interno del codice HTML, consente infatti ad un aggressore di confezionare una pagina Web ad hoc che, una volta visualizzata, può lanciare programmi locali già presenti sulla macchina dell’utente.

E’ grazie a questa falla se diversi siti, con scopi più o meno “nobili”, sono in grado di lanciare, attraverso IE, i tipici programmi che accompagnano Windows: la calcolatrice, il blocco note, WordPad, la shell dei comandi, Paint, ecc.

Microsoft, che ha classificato questa falla di rischio “medio”, sostiene che la sua pericolosità è temperata dal fatto che un aggressore deve conoscere l’esatta ubicazione dei file da eseguire e non ha modo di passare parametri ai programmi. Per il momento, secondo gli esperti di sicurezza, il massimo danno che un cracker può fare sfruttando questa vulnerabilità è quello di spegnere o riavviare il PC di un utente.

Link copiato negli appunti

Ti potrebbe interessare

01 04 2002
Link copiato negli appunti