Grosso buco in IE, esperti in allerta

Microsoft ha avvisato gli utenti di Internet Explorer di un exploit in grado di sfruttare una falla la cui pericolositÓ era stata fino ad oggi sottovalutata. In attesa della patch, gli esperti raccomandano cautela

Roma - Nella comunitÓ degli esperti di sicurezza Ŕ allarme rosso. A farlo scattare Ŕ stata la pubblicazione online di un exploit che, facendo leva su una grave falla di sicurezza di Internet Explorer, pu˛ essere utilizzato da malintenzionati per eseguire sul computer di un utente del codice dannoso.

L'exploit Ŕ stato scritto a scopo dimostrativo dalla societÓ di sicurezza inglese Computer Terrorism e sfrutta un bug di IE nella gestione dei Javascript: pur essendo noto fin dallo scorso maggio, il baco Ŕ ancora privo di patch. In un advisory Microsoft ha spiegato che la reale gravitÓ del problema Ŕ emersa solo negli scorsi giorni: prima della pubblicazione dell'exploit, infatti, gli esperti ritenevano che la vulnerabilitÓ potesse essere utilizzata esclusivamente per causare sporadici crash del browser.

"La falla Ŕ dovuta al fatto che alcuni oggetti non vengono inizializzati correttamente quando la funzione windows() viene utilizzata in congiunzione con l'evento <body onload>", ha spiegato Secunia in questo advisory. "Ci˛ pu˛ essere sfruttato per eseguire del codice arbitrario all'interno di un browser vulnerabile, servendosi di alcune righe di codice Javascript chiamate direttamente quando un sito viene caricato".
Il problema sembra interessare tutte le versioni di Windows, tranne Windows Server 2003, su cui giri IE 5.x o 6.0 (ma potrebbe affliggere anche le versioni precedenti, non pi¨ supportate da Microsoft).

Quello che tutti consideravano uno spiffero senza troppa importanza si Ŕ dunque trasformato in una vera e propria breccia, forse una delle pi¨ pericolose dell'ultimo anno: Secunia non ha esitato ad assegnarle il suo pi¨ elevato livello di gravitÓ, "extremely critical", mentre l'Internet Storm Center di SANS Institute ha portato l'InfoCon, che misura lo stato di pericolo in Internet, a giallo.

A destare particolare preoccupazione Ŕ il fatto che l'exploit sia in grado di eseguire codice e comandi senza alcuna interazione da parte dell'utente: in questo esempio Computer Terrorism dimostra come sia possibile lanciare un programma, in questo caso la calcolatrice integrata in Windows, invitando semplicemente l'utente a cliccare su di un link. Sebbene gli esperti affermino che l'exploit funziona su tutte le versioni di Windows 2000 e XP (incluso l'SP2), su un PC di redazione (con Windows XP aggiornato alle ultime patch) il test ha parzialmente fallito, generando un errore irreversibile del browser. Provando con Firefox 1.07, invece, il codicillo ha l'unico risultato di rallentare il browser e generare alcune finestre di dialogo che possono essere chiuse solo "uccidendo" il processo che le ha generate. Gli esperti sostengono che il problema potrebbe interessare anche altri browser, ma la possibilitÓ di sfruttarlo per eseguire del codice dannoso sembra circoscritta a IE.

In attesa che Microsoft distribuisca una patch, Computer Terrorism raccomanda agli utenti di IE di disattivare l'Esecuzione script attivo dalle impostazioni di protezione del browser. Altri suggeriscono di utilizzare un programma alternativo, come Firefox o Opera.

Vista la serietÓ del problema, Microsoft potrebbe decidere di rilasciare una correzione nei prossimi giorni, anticipando i bollettini di sicurezza previsti per l'8 dicembre.

Nel proprio advisory di sicurezza il big di Redmond lamenta la "mancanza di responsabilitÓ" di chi ha divulgato anzitempo i dettagli della falla.

Proprio negli scorsi giorni SANS ha pubblicato la classifica aggiornata delle 20 maggiori vulnerabilitÓ di Internet. La societÓ americana, che ha redatto il documento insieme al National Infrastructure Protection Center (NIPC) e all'FBI, sostiene che i cracker e i cyber-criminali in genere stanno spostando sempre pi¨ l'attenzione verso le applicazioni piuttosto che i sistemi operativi: al centro del mirino vi sarebbero dunque tutte le pi¨ popolari applicazioni per Internet, tra cui i browser, e software per la sicurezza come antivirus e firewall.
TAG: browser
222 Commenti alla Notizia Grosso buco in IE, esperti in allerta
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 40 discussioni)