Washington (USA) – Internet Explorer soffre di un “malanno” di cui, al momento, non esiste cura. A svelarlo è il CERT che, in un recente avviso di sicurezza , ha portato sotto i riflettori della comunità di esperti di sicurezza una vulnerabilità del browser di Microsoft di tipo cross-domain scripting.
IL CERT sostiene che la falla può consentire ad un aggressore di eseguire del codice a sua scelta con gli stessi privilegi con cui gira il browser e di leggere o modificare dati, inclusi i cookie, che appartengono da altri siti Web. Il rischio è che un cracker possa far leva su questa debolezza non solo per ottenere pieno accesso al computer di un utente, ma anche per sottrarre numeri di carte di credito o altri dati sensibili.
La vulnerabilità è causata dal modo in cui l’implementazione del protocollo InfoTech Storage (ITS) di IE determina la sicurezza del dominio di un componente HTML inglobato in un file di tipo Compiled HTML Help (CHM), lo stesso utilizzato dal sistema di help di Windows. I file CHM si avvalgono del formato ITS per archiviare componenti quali file HTML, elementi grafici e oggetti ActiveX. IE integra diversi gestori di protocolli per accedere a file in formato ITS, ai singoli componenti di un file CHM e a file in formato MHTML (MIME Encapsulation of Aggregate HTML Documents).
“Quando IE, utilizzando ITS e il protocollo MHTML, fa riferimento a un file MHTML (MIME Encapsulation of Aggregate HTML Documents) inaccessibile o inesistente il gestore del protocollo ITS può consentire l’accesso ad un file CHM presente su di una locazione alternativa”, si legge nell’avviso del CERT. “IE tratta incorrettamente il file CHM come se fosse contenuto nello stesso dominio del file MHTML non disponibile. Utilizzando una URL composta in un certo modo, un aggressore può fare in modo che uno script incluso nel file CHM venga eseguito all’interno di un altro dominio, superando così il modello di sicurezza cross-domain”.
Il CERT ha messo in guardia gli utenti sul fatto che qualsiasi programma, come un browser o Outlook/Outlook Express, che utilizza il controllo ActiveX WebBrowser o il motore di rendering MSHTML di IE, può soffrire dello stesso problema.
Gli esperti hanno avvisato gli utenti che delle varianti di alcuni diffusi worm e trojan, come W32/Bugbear, BloodHound.Exploit.6 e Ibiza, sono già in grado di sfruttare la breccia di IE.
In attesa che Microsoft rilasci una patch che risolva il problema, il CERT ha raccomandato agli utenti di evitare di cliccare su link contenuti all’interno di pagine Web, e-mail, messaggi istantanei o canali IRC di cui non si conosca la provenienza.
Negli scorsi giorni sul celebre sito dedicato alla sicurezza SecurityFocus è apparso un avviso relativo alla presenza, nel Flash Player per Internet Explorer, di un bug che potrebbe essere sfruttato per attacchi denial-of-service. La presenza della vulnerabilità è stata accertata nella versione 7.0 r19 del player di Macromedia, ma potrebbe interessare anche le versioni precedenti.