Una vulnerabilità estremamente pericolosa è stata scoperta in Internet Explorer, immediatamente confermata anche da Microsoft mediante la pubblicazione di un bollettino di allerta (consultabile facendo riferimento a questa pagina).
Se sfruttato, il problema di sicurezza potrebbe consentire, ad aggressori remoti, di accedere indisturbati alla macchina presa di mira. La falla è determinata dal modo con cui un particolare oggetto COM (msdds.dll
) viene instanziato nel browser Internet Explorer.
Una volta sfruttato il problema, l’aggressore è così libero di eseguire codice potenzialmente dannoso sebbene, condizione necessaria e sufficiente per far leva sulla lacuna di sicurezza appena messa a nudo, consista nell’indurre l’utente a visitare una pagina web “maligna”.
Il file msdds.dll
è parte integrante dei pacchetti Microsoft Visual Studio .NET 2003, Microsoft Office Professional 2003 e Microsoft Office XP.
Sembra sia stato già pubblicato un primo “exploit”, gli esperti si stanno confrontando circa l’effettiva applicabilità ed efficacia di simile codice. Microsoft sta lavorando sullo sviluppo di una soluzione che permetta di risolvere il problema: per il momento, intanto, l’azienda di Redmond propone di effettuare alcune azioni che consentano di prevenire qualsiasi rischio. I “workarounds” illustrati (visionabili in questa pagina) consistono essenzialmente nel disabilitare l’esecuzione dei controlli ActiveX per tutti i siti web (tranne che per quelli fidati), nell’evitare che l’oggetto COM MSDDS.DLL (Microsoft DDS Library Shape Control) venga instanziato in Internet Explorer (è necessario intervenire sul registro di sistema ed impostare il “Compatibility Flag” relativo al CLSID {EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F} a 00000400) oppure annullare la registrazione della libreria DLL mediante l’uso del comando REGSVR32 /u msdds.dll
Pericolosa falla in Internet Explorer: Microsoft conferma
Una vulnerabilità estremamente pericolosa è stata scoperta in Internet Explorer, immediatamente confermata anche da Microsoft mediante la pubblicazione di un bollettino di allerta (consultabile facendo riferimento a questa pagina).