Nuovi buchi in Internet Explorer e Outlook

Microsoft è già al lavoro per individuare le soluzioni più adatte per impedire certi attacchi rivolti agli utenti dei due diffusissimi software. Se ne parla su Bugtraq

Redmond (USA) - Microsoft si è già messa al lavoro per evitare che i buchi nella sicurezza di Outlook e Internet Explorer, appena individuati da alcuni esperti, possano tradursi in attacchi ai danni degli utenti.

A quanto si apprende, i bug individuati riguardano l'uso combinato di prodotti che vanno dal browser ad Outlook e Outlook Express ad Access, a PowerPoint, ad Excel. Problemi risiedono nella gestione di Visual Basic e nei controlli ActiveX.

Ad individuare i primi due bug ci ha pensato "il solito" cacciatore di buchi, l'ungherese Georgi Guninski, e si riferiscono alla gestione degli script Visual Basic da parte di Outlook, una condizione peraltro già esplorata da Microsoft e in parte patchata dopo la diffusione del virus LoveLetter, che sfruttava proprio questo genere di vulnerabilità.
Il primo bug consentirebbe ad un potenziale aggressore di utilizzare controlli ActiveX per infilare script di Visual Basic in file di Access, quando un utente ignaro visita un sito Web fatto in un certo modo o apre una email con, in attachment, un certo file HTML. Secondo Guninski, in questo scenario il browser scaricherebbe sia il file di Access che il codice di Visual Basic, di fatto consegnando il computer vittima all'aggressore. Per superare le restrizioni pensate da Microsoft, ha spiegato l'esperto, si può ricorrere all'utilizzo dei frame.

Il secondo buco è del tutto simile ma implica vulnerabilità di Excel, il celebre foglio di calcolo di Microsoft, e PowerPoint, il programma per le presentazioni. Entrambe le applicazioni dispongono di controlli ActiveX che consentono loro di salvare ovunque file sul computer, anche nella directory di sistema. Ciò significa che al reboot di un computer "infetto", un codice così registrato potrebbe partire e fare il bello e il cattivo tempo.

Il terzo bug, stando a quanto apparso sulla mailing list Bugtraq, riguarda l'uso del browser, di Outlook o della sua versione "light", Outlook Express. In alcuni casi, infatti, le applicazioni scaricherebbero dei file anche quando l'utente abbia cercato di terminare o chiudere il download. Anche in questo caso, l'origine dell'attacco può essere una pagina Web o un attachment HTML.

Microsoft ha comunque sottolineato che fino ad ora nessuna evidenza di attacchi del genere è stata rilevata e che a breve verranno rilasciate patch ad hoc.
TAG: sicurezza