Falla senza patch per IE

Nel browser di casa Microsoft Ŕ stato scoperto un bug che ancora non trova una soluzione. Su Internet circola un exploit capace di trarre vantaggio dalla vulnerabilitÓ. Esperti in allarme

Redmond (USA) - Alcuni esperti di sicurezza l'hanno definita una delle vulnerabilitÓ di Internet Explorer pi¨ gravi degli ultimi mesi. Si tratta di un bug scoperto di recente da SEC Consult, e descritto da Microsoft in questo advisory, che pu˛ essere sfruttato a distanza da un cracker per mandare in crash IE o per eseguire del codice.

La pi¨ grande minaccia deriva dal fatto che sebbene esista giÓ un exploit pubblico, il buco Ŕ ancora senza patch. Nel proprio advisory, aggiornato il primo di luglio, Microsoft si Ŕ detta impegnata nell'investigare a fondo il problema: in attesa del rilascio di un fix, il colosso ha raccomandato ai propri utenti di impostare la protezione di sicurezza di IE sul massimo livello (Opzioni Internet -> Protezione -> Internet -> Livello personalizzato -> Alta). Nel caso degli utenti aziendali, tale configurazione andrebbe applicata anche all'area "intranet locale".

In questo avviso di sicurezza FrSIRT ha spiegato che la falla "Ŕ causata da un errore nell'oggetto COM javaprxy.dll che, quando attivato in IE attraverso un determinato tag HTML, pu˛ essere sfruttata per mezzo di una pagina web per compromettere a prendere il completo controllo di un sistema vulnerabile". Il problema interessa le versioni 5.01, 5.5 e 6.0 di IE utilizzate in abbinamento alla Microsoft Java Virtual Machine: la presenza di tale componente nel sistema pu˛ essere rilevata con questo tool gratuito.
SEC Consult sostiene di aver segnalato per la prima volta la vulnerabilitÓ a Microsoft il 17 giugno, ottenendo un feedback da Microsoft il giorno stesso. Il 29 il big di Redmond ha annunciato alla societÓ di sicurezza di aver completato le verifiche ed aver appurato che il bug non pu˛ essere utilizzato per compromettere un sistema. In tutta risposta, SEC Consult ha reso pubblici la vulnerabilitÓ e il relativo exploit proof of concept. Il giorno dopo, 30 giugno, Microsoft ha fatto sapere di essere riuscita a riprodurre la situazione di errore e ha pubblicato, nel contempo, il proprio advisory. La pubblicazione dell'exploit Ŕ ora senza dubbio un frutto goloso per molti cracker.

L'avviso pubblicato dal big di Redmond rientra in quel recente piano per la sicurezza che, varato a maggio, prevede la tempestiva notifica agli utenti di problematiche sulla sicurezza particolarmente serie o urgenti.

La recente falla di IE Ŕ stata trattata qui anche da Secunia e classificata con un grado di rischio highly critical.
TAG: browser
268 Commenti alla Notizia Falla senza patch per IE
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 24 discussioni)