Visual Studio 2005 bucato da un ActiveX

Insieme a Visual Studio 2005 viene distribuito un controllo ActiveX che contiene una seria falla di sicurezza. Gli utenti di Internet Explorer potrebbero cadere vittima di siti web malintenzionati
Insieme a Visual Studio 2005 viene distribuito un controllo ActiveX che contiene una seria falla di sicurezza. Gli utenti di Internet Explorer potrebbero cadere vittima di siti web malintenzionati

Redmond (USA) – Con un recente advisory di sicurezza, Microsoft ha avvisato i propri utenti di una pericolosa vulnerabilità zero-day in Visual Studio 2005, vulnerabilità che ha come vettore di attacco Internet Explorer.

Il problema, considerato da Secunia “estremamente critico”, è causato da un errore nel controllo ActiveX WMI Object Broker ( WmiScriptUtils.dll ). Un sito web malintenzionato potrebbe sfruttare il bug per eseguire del codice da remoto e prendere il controllo del sistema vulnerabile.

A correre dei rischi sono coloro che utilizzano Internet Explorer, soprattutto le versioni 5.x e 6. Con la versione 7 il pericolo è significativamente mitigato dal fatto che il controllo WMI Object Broker viene automaticamente bloccato dalla funzionalità ActiveX Opt-in : per eseguirlo, l’utente deve espressamente autorizzarne l’attivazione.

Del tutto immune al problema Windows Server 2003, che nella sua configurazione predefinita non permette l’esecuzione di ActiveX.

Microsoft e gli esperti di sicurezza hanno avvertito che su Internet sta già circolando un exploit capace di sfruttare la debolezza. Per difendersi è possibile adottare una delle misure suggerite nell’advisory di Microsoft o in questo di FrSIRT.

Link copiato negli appunti

Ti potrebbe interessare

02 11 2006
Link copiato negli appunti