Quasi sei mesi fa è stata segnalata a Microsoft l’esistenza di una pericolosa vulnerabilità di sicurezza nel browser Internet Explorer. Il problema si determina nel momento in cui venga semplicemente inserita, in una pagina html, la funzione Javascript “window()
” all’interno dell’evento body onload
. Utilizzando del codice Javascript opportunamente concepito per sfruttare la falla di sicurezza, è possibile addirittura eseguire applicazioni maligne sul computer “vittima”: è sufficiente indurre l’utente a visitare una pagina web contenente il codice pericoloso.
Il livello di criticità legato a questa vulnerabilità è stato immediatamente portato “a fondo scala” da Secunia, che con un comunicato (ved. questa pagina) pubblicato sul sito web ufficiale, ha messo in allerta tutti gli utenti. La novità, infatti, è che nelle scorse ore è stato reso noto in Rete il codice “proof-of-concept” che potrebbe essere facilmente ripreso da parte di malintenzionati per far danni.
Per comprendere quanto il problema sia importante, lo stesso Internet Storm Center di SANS (isc.sans.org) ha portato il suo livello di attenzione a “giallo”, lo stesso usato all’epoca della diffusione dei virus Blaster, Sasser e SQL Slammer.
La questione diventa ancor più scottante se si pensa che Microsoft non ha ancora rilascio una patch correttiva per la vulnerabilità (confermata, tra gli altri, anche su sistemi Windows XP SP2 con Internet Explorer 6.0 e Windows 2000 SP4 con Internet Explorer 6.0, regolarmente aggiornati).
L’azienda di Redmond ha comunque pubblicato un comunicato ufficiale (ved. MS Security Advisory 911302) attraverso il quale precisa che il problema è al momento in fase di investigazione e che secondo le segnalazioni pervenute nel mese di Maggio la vulnerabilità poteva essere sfruttata solo per mandare in crash il browser mentre oggi diventa possibile anche l’esecuzione di codice nocivo da remoto. Eseguire il browser da un account sprovvisto di diritti amministrativi può aiutare ad evitare gran parte dei problemi.
E' allarme per una pericolosa vulnerabilità di Internet Explorer
Quasi sei mesi fa è stata segnalata a Microsoft l'esistenza di una pericolosa vulnerabilità di sicurezza nel browser Internet Explorer.