Oops! Chi m'ha spento il PC?

Una vecchia falla di IE6, ancora in attesa di patch, può oggi essere sfruttata per spegnere il PC di un utente via Web

Redmond (USA) - Una nota falla ancora non patchata di Internet Explorer 6 renderebbe possibile, secondo l'esperto di sicurezza svedese Magnus Bodin, far spegnere un computer attraverso il caricamento di una pagina Web confezionata ad hoc.

La vulnerabilità. comunemente nota con il nome di Codebase Localpath, è stata identificata per la prima volta nel giugno del 2000 ed è tornata a far parlare di sé dopo che su Internet sono apparse varie pagine Web in grado di eseguire programmi locali sul computer dell'utente.

Da qualche giorno sta però circolando un exploit meno innocuo dei precedenti che, sfruttando il programma logoff.exe o shutdown.exe, entrambi inclusi di default in tutte le installazioni di Windows XP, consentirebbe ad un aggressore di chiudere la sessione di Windows o spegnere il PC attraverso una semplice pagina Web.
Le due utility possono essere presenti anche in Windows NT e 2000, ma in questo caso non vengono installate di default.

Sebbene gli esperti di sicurezza non considerino questa minaccia particolarmente pericolosa, Bodin ha spiegato che la nota falla, combinata con le utility poc'anzi menzionate, potrebbe causare la perdita dei dati non salvati.

Per fortuna, pare che al momento i cracker non abbiano ancora trovato il modo di passare parametri ai programmi lanciati, una limitazione che rende questo exploit assai meno pericoloso di quello che altrimenti potrebbe essere: se così non fosse, infatti, sarebbe sufficiente una banale pagina Web per formattare all'istante un hard disk.

Quasi tutti i produttori di antivirus hanno già incluso il codice per sfruttare questa vulnerabilità fra la categoria dei cavalli di Troia.
TAG: sicurezza
63 Commenti alla Notizia Oops! Chi m'ha spento il PC?
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)