Microsoft sta investigando su una possibile vulnerabilità di Internet Explorer 7, segnalata da uno sviluppatore israeliano, sia nella versione per Windows sia in quella integrata in Windows Vista.
Questa lacuna faciliterebbe “il lavoro” ad utenti malintenzionati intetessati a mettere in atto truffe online. L’aggressore potrebbe sfruttare la visualizzazione di un messaggio d’errore da parte dell’ultima versione del browser Microsoft per reindirizzare l’utente su un sito web maligno nascondendo l’URL reale e mostrando, al suo posto, quello, per esempio, di un sito fidato.
Un portavoce ha dichiarato che l’azienda di Redmond “non è a conoscenza di tentativo di attacco basati sulla vulnerabilità segnalata” confermando come i tecnici stiano attivamente lavorando per mettere a fuoco il problema.
Il possibile problema di sicurezza ha a che fare con il messaggio visualizzato allorquando il caricamento di una pagina web venga annullato. Un aggressore potrebbe manipolare tale messaggio creando un link “maligno” che, invece di ritentare il caricamento della pagina, invierebbe il browser su un sito potenzialmente dannoso con la possibilità di visualizzare, nella barra degli indirizzi, un URL arbitario.
“Fintanto che Microsoft non avrà risolto il problema” – scrive Aviv Raff, autore della scoperta – “non fidatevi della pagina che informa sul mancato caricamento di una pagina web”.
Raff ha preparato un video in formato Windows Media, visionabile cliccando qui, che illustra il problema.
C'è uno "spiffero" in Internet Explorer 7.0
Microsoft sta investigando su una possibile vulnerabilità di Internet Explorer 7, segnalata da uno sviluppatore israeliano, sia nella versione per Windows sia in quella integrata in Windows Vista.