Grosso buco in IE, esperti in allerta

Grosso buco in IE, esperti in allerta

Microsoft ha avvisato gli utenti di Internet Explorer di un exploit in grado di sfruttare una falla la cui pericolosità era stata fino ad oggi sottovalutata. In attesa della patch, gli esperti raccomandano cautela
Microsoft ha avvisato gli utenti di Internet Explorer di un exploit in grado di sfruttare una falla la cui pericolosità era stata fino ad oggi sottovalutata. In attesa della patch, gli esperti raccomandano cautela


Roma – Nella comunità degli esperti di sicurezza è allarme rosso. A farlo scattare è stata la pubblicazione online di un exploit che, facendo leva su una grave falla di sicurezza di Internet Explorer, può essere utilizzato da malintenzionati per eseguire sul computer di un utente del codice dannoso.

L’exploit è stato scritto a scopo dimostrativo dalla società di sicurezza inglese Computer Terrorism e sfrutta un bug di IE nella gestione dei Javascript: pur essendo noto fin dallo scorso maggio, il baco è ancora privo di patch. In un advisory Microsoft ha spiegato che la reale gravità del problema è emersa solo negli scorsi giorni: prima della pubblicazione dell’exploit, infatti, gli esperti ritenevano che la vulnerabilità potesse essere utilizzata esclusivamente per causare sporadici crash del browser.

“La falla è dovuta al fatto che alcuni oggetti non vengono inizializzati correttamente quando la funzione windows() viene utilizzata in congiunzione con l’evento <body onload> “, ha spiegato Secunia in questo advisory . “Ciò può essere sfruttato per eseguire del codice arbitrario all’interno di un browser vulnerabile, servendosi di alcune righe di codice Javascript chiamate direttamente quando un sito viene caricato”.

Il problema sembra interessare tutte le versioni di Windows, tranne Windows Server 2003, su cui giri IE 5.x o 6.0 (ma potrebbe affliggere anche le versioni precedenti, non più supportate da Microsoft).

Quello che tutti consideravano uno spiffero senza troppa importanza si è dunque trasformato in una vera e propria breccia, forse una delle più pericolose dell’ultimo anno: Secunia non ha esitato ad assegnarle il suo più elevato livello di gravità, “extremely critical”, mentre l’ Internet Storm Center di SANS Institute ha portato l’ InfoCon , che misura lo stato di pericolo in Internet, a giallo.

A destare particolare preoccupazione è il fatto che l’exploit sia in grado di eseguire codice e comandi senza alcuna interazione da parte dell’utente: in questo esempio Computer Terrorism dimostra come sia possibile lanciare un programma, in questo caso la calcolatrice integrata in Windows, invitando semplicemente l’utente a cliccare su di un link. Sebbene gli esperti affermino che l’exploit funziona su tutte le versioni di Windows 2000 e XP (incluso l’SP2), su un PC di redazione (con Windows XP aggiornato alle ultime patch) il test ha parzialmente fallito, generando un errore irreversibile del browser. Provando con Firefox 1.07, invece, il codicillo ha l’unico risultato di rallentare il browser e generare alcune finestre di dialogo che possono essere chiuse solo “uccidendo” il processo che le ha generate. Gli esperti sostengono che il problema potrebbe interessare anche altri browser, ma la possibilità di sfruttarlo per eseguire del codice dannoso sembra circoscritta a IE.

In attesa che Microsoft distribuisca una patch, Computer Terrorism raccomanda agli utenti di IE di disattivare l’ Esecuzione script attivo dalle impostazioni di protezione del browser. Altri suggeriscono di utilizzare un programma alternativo, come Firefox o Opera.

Vista la serietà del problema, Microsoft potrebbe decidere di rilasciare una correzione nei prossimi giorni, anticipando i bollettini di sicurezza previsti per l’8 dicembre.

Nel proprio advisory di sicurezza il big di Redmond lamenta la “mancanza di responsabilità” di chi ha divulgato anzitempo i dettagli della falla.

Proprio negli scorsi giorni SANS ha pubblicato la classifica aggiornata delle 20 maggiori vulnerabilità di Internet. La società americana, che ha redatto il documento insieme al National Infrastructure Protection Center (NIPC) e all’FBI, sostiene che i cracker e i cyber-criminali in genere stanno spostando sempre più l’attenzione verso le applicazioni piuttosto che i sistemi operativi: al centro del mirino vi sarebbero dunque tutte le più popolari applicazioni per Internet, tra cui i browser, e software per la sicurezza come antivirus e firewall.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 nov 2005
Link copiato negli appunti