Redmond (USA) – Arriva dal quartiere generale di Microsoft la conferma di un buco di sicurezza nelle ultime versioni del browser dell’azienda, Internet Explorer. Un buco che mette a rischio i cookie, i file di dati utilizzati da molti siti per i propri servizi online che vengono “infilati” sui computer degli utenti. La falla consente, in certe condizioni, di leggere il contenuto dei cookie o di modificarli. Il buco riguarda Internet Explorer 5.5 e Internet Explorer 6.0.
Stando ad un bollettino di sicurezza della stessa Microsoft, esiste una vulnerabilità perché è possibile costruire una URL che può consentire ai siti che la utilizzano di accedere ai cookie dei propri utenti ed eventualmente agire sui contenuti. Poiché ci sono siti che nei cookie infilano informazioni personali importanti, spiega Microsoft, ne consegue un rischio per la sicurezza delle informazioni personali contenute in quei file.
“Microsoft – si legge nella nota – sta preparando una patch per risolvere il problema ma nel frattempo invita i clienti a proteggere i propri sistemi disabilitando l’active scripting”. Secondo Microsoft questo eviterà sia l’attacco via URL, sia un simile attacco che può essere perpetrato da un eventuale aggressore attraverso una email formattata in HTML.
Microsoft avverte comunque che gli utenti di Outlook che hanno installato la Outlook Email Security Update non sono comunque a rischio per quanto riguarda l’attacco via email HTML.
Secondo Jouko Pynnonen, l’esperto di sicurezza che ha individuato il buco e ne ha parlato su SecurityFocus.com, il problema sta nel fatto che il browser Microsoft gestisce certe URL costruite con “about:”. Una URL che inizia con about: può contenere codice HTML che il browser esegue. Nella URL può anche essere inserito codice JavaScript.
Pynnonen ha anche indicato una pagina web, che si trova qui , che consente di testare il proprio browser e verificare il livello di rischio.
L’esperto finlandese ha anche sottolineato che Microsoft ha reagito rapidamente dopo che all’azienda è stata notificata l’esistenza del buco ed è appunto al lavoro per realizzare una patch di sicurezza per gli utenti Windows.