Redmond (USA) – Nuovo giro, nuova corsa. La megapatch per Internet Explorer che Microsoft rilasciò la scorsa settimana, e che per un errore nel modo in cui venne distribuita fu poi prontamente rimossa , torna disponibile per il download.
L’aggiornamento contiene una collezione di fix di sicurezza che, secondo quanto dichiara Microsoft nel suo bollettino , “eliminano tutte le precedenti vulnerabilità che riguardano IE 5.01, 5.5 e 6.0”. In aggiunta a queste, la megapatch include sei nuovi fix che vanno a tappare altrettante falle di sicurezza, alcune delle quali già note da tempo.
La prima vulnerabilità, la più grave, consiste in un buffer overrun “associato ad una direttiva HTML usata per includere un documento all’interno di una pagina Web”. Attraverso una e-mail o una pagina Web “confezionata” ad hoc, un aggressore potrebbe essere in grado di eseguire del codice a sua scelta sul sistema dell’utente, ottenendone di fatto il controllo.
La seconda vulnerabilità, classificata anch’essa come critica, è associata alla funzione di scripting GetObject, un problema svelato il primo gennaio da Georgi Guninski. Attraverso questa falla un aggressore potrebbe essere in grado di aggirare le protezioni e le verifiche di IE per guadagnare l’accesso ai file dell’utente.
Due altre falle riguardano invece il modo in cui IE gestisce i file e ne determina il tipo. In questo caso un cracker potrebbe mascherare l’estensione di un file all’interno del dialog box di IE, ingannando così l’utente circa la reale natura di ciò che sta scaricando e/o aprendo da Internet, oppure potrebbe, cosa più grave, far eseguire in automatico un file che si trova su di un sito Web attraverso un’applicazione installata sul sistema di un utente.
Un altro bug, scoperto da GFI, affligge sia IE che Access e permette ai macro di essere eseguiti automaticamente sulla macchina della vittima.
Questa falla, secondo quanto ha comunicato ieri a Punto Informatico la società produttrice di software di sicurezza GFI, “consente ad utenti malintenzionati di avviare dei codici arbitrari su una determinata macchina che tenta di vedere un sito web o un email HTML. Può essere sfruttata nascondendo un codice macro come un VBA (Visual Basic for Applications) dentro un file (.mdb) del database di Access che a sua volta si trova dentro ad un file d’email di Outlook Express o Multipart HTML File (.mhtml). Se questo file è raggiunto usando Internet Explorer, l’allegato può essere automaticamente eseguito senza attivare nessun avvertimento”.
L’ultima vulnerabilità, giudicata da Microsoft seria, riguarda una variante della falla “Frame Domain Verification”, una debolezza che può consentire all’operatore di un sito Web di leggere, ma per fortuna non di modificare, qualsiasi file si trovi sull’hard disk di un utente.
Queste sei patch di sicurezza, di cui Microsoft raccomanda l’immediata applicazione, verranno incluse anche nei prossimi Service Pack 1 per IE 6.0 e Service Pack 3 per Windows 2000.
La megapatch può essere scaricata da qui , attraverso l’Auto Update di Windows XP o, per tutti gli utenti Windows, attraverso Windows Update (anche se al momento in cui si scrive la patch non è ancora disponibile attraverso questi due ultimi canali di aggiornamento).
Ti potrebbe interessare
13 feb 2002