Una falla ActiveX in Windows

Una falla ActiveX in Windows

Microsoft ha avvisato i propri utenti della presenza di una falla in un componente ActiveX sfruttabile da un webmaster senza scrupoli per ottenere il controllo di un PC remoto
Microsoft ha avvisato i propri utenti della presenza di una falla in un componente ActiveX sfruttabile da un webmaster senza scrupoli per ottenere il controllo di un PC remoto

Redmond (USA) – Nel fine settimana Microsoft ha pubblicato un nuovo advisory per rispondere alla recente segnalazione, da parte di alcuni ricercatori di sicurezza, di una falla zero-day celata in un controllo ActiveX di Windows.

La vulnerabilità riguarda il controllo ActiveX XMLHTTP 4.0 , un componente del Microsoft XML Core Services 4.0 di Windows. Sia FrSIRT che Secunia hanno classificato il bug con il massimo grado di pericolosità e hanno spiegato che potrebbe essere sfruttato da remoto per prendere il pieno controllo di un PC.

Come sempre accade quando si parla di ActiveX, i cracker possono utilizzare come vettore di attacco Internet Explorer . Le piattaforme a rischio comprendono tutte le versioni di Windows ancora supportate, dalla 2000 alla 2003 passando per XP, anche se Microsoft puntualizza che Windows Server 2003 e Internet Explorer 7 mitigano significativamente la pericolosità del problema .

BigM ha tuttavia avvisato gli utenti che su Internet circola già un exploit in grado di sfruttare la debolezza per eseguire del codice da remoto. In attesa di una patch, Microsoft fornisce nel proprio advisory alcune soluzioni temporanee per aggirare il problema.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 nov 2006
Link copiato negli appunti