Lo scorso fine settimana Opera Software ha reso disponibile una versione aggiornata del proprio browser, la 10.53, che sistema alcune vulnerabilità di sicurezza sia in Windows che in Mac OS X.
Tra le falle corrette dall’update ce n’è una che l’azienda norvegese definisce “di gravità estrema”. Il bug è contenuto in uno script che modifica il contenuto dei documenti: chiamate multiple al componente vulnerabile possono causare il crash del browser e consentire a un aggressore di eseguire del codice a distanza. “Per iniettare il codice sono necessarie ulteriori tecniche di cracking” sottolinea però Opera Software.
Di recente ha pubblicato un advisory di sicurezza anche Microsoft, nel quale segnala la presenza di una vulnerabilità di tipo cross-site scripting (XSS) in Windows SharePoint Services 3.0 e Office SharePoint Server 2007.
“La dinamica di attacco è un po’ articolata, poiché richiede di convincere la vittima a cliccare su un link fornito di script che sarebbe in grado di essere eseguito con i privilegi dell’utente già loggato sullo sharepoint preso di mira – spiega Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, in questo post sul suo blog – “In ogni caso non si ha notizia di attacchi attivi e si invita gli amministratori di siti Sharepoint ad applicare le contromisure temporanee (workaround) indicati nell’advisory (nella sezione Suggested actions), in attesa del rilascio dell’aggiornamento correttivo”.
Intini aggiunge poi che gli utenti che utilizzano Internet Explorer 8 sono immuni al problema, grazie al filtro XSS incluso in questo browser.
Alessandro Del Rosso