Aliso Viejo (USA) – Sono due le vulnerabilità di sicurezza che la società eEye Digital Security ha notificato negli scorsi giorni a Microsoft : una interessa Internet Explorer, l’altra Windows. Entrambe sono valutate con un elevato grado di rischio e potrebbero consentire l’esecuzione di codice da remoto.
Seguendo la sua tradizionale policy, eEye non ha ancora rivelato i dettagli delle due falle: lo farà solo quando Microsoft avrà rilasciato le relative patch. Nel frattempo ha pubblicato due advisory preliminari e ha rivelato che la vulnerabilità relativa a Windows, celata all’interno di un componente di rete, è stata per il momento accertata solo nell’edizione 2000: la società ha tuttavia detto che potrebbero essere interessate dal problema anche altre versioni del sistema operativo di Microsoft.
Marc Maiffret, chief hacking officer di eEye, ha spiegato che per arginare o mitigare la falla di Windows non esiste alcuna soluzione temporanea: l’unica cosa da fare, a suo dire, è attendere il rilascio di una patch ufficiale.
“Non è possibile disattivare o disinstallare il componente vulnerabile”, ha affermato l’esperto.
Per quanto riguarda invece la falla di IE, eEye ha per il momento rivelato che si tratta di un buffer overflow innescabile facendo un semplice clic su un link malevolo. Secondo quanto riportato nell’advisory di eEye, la vulnerabilità interessa tutte le più recenti versioni di Windows tranne il Service Pack 2 di Windows XP.