Redmond (USA) – Microsoft ha pubblicato due nuovi bollettini di sicurezza relativi ad alcune serie vulnerabilità che interessano Internet Explorer e Windows XP.
Il problema relativo a Internet Explorer riguarda il modello di sicurezza cross-domain, lo stesso che dovrebbe impedire alle finestre di due differenti domini (dette anche “aree”) di condividere informazioni. Il controllo di sicurezza di IE contiene però due falle che, secondo quanto spiegato da Microsoft nel bollettino MS03-004 , “consentono ad un sito web di accedere potenzialmente alle informazioni di un altro dominio quando si utilizzano certe caselle di dialogo”.
Attraverso la creazione di un sito web ad hoc, un aggressore potrebbe essere in grado di sfruttare le falle per eseguire sul computer dell’utente script malevoli in grado di accedere alle informazioni di altri domini. Oltre a questo, una delle due falle potrebbe anche consentire ad un cracker di lanciare file eseguibili già presenti sul sistema locale.
Le due vulnerabilità, classificate come “critical”, interessano le versioni 5.01, 5.5 e 6.0 di IE e sono state corrette da una patch scaricabile attraverso il Windows Update o attraverso il link fornito all’interno del bollettino di Microsoft. La patch è cumulativa e contiene tutti i precedenti fix di sicurezza rilasciati per IE 5.x e 6.
La terza vulnerabilità corretta da Microsoft, e descritta nel bollettino di sicurezza MS03-005 , riguarda invece il componente Windows Redirector di Windows XP, un software utilizzato per accedere a file locali e remoti indipendentemente dal protocollo di rete in uso. La falla, che consiste in un buffer non verificato, può essere sfruttata da un aggressore per eseguire sul sistema-vittima del codice a propria scelta. A mitigare la gravità di questa vulnerabilità, classificata come “important”, interviene il fatto che – secondo quanto spiegato Microsoft – può essere sfruttata solo in locale.