Roma – Per la seconda volta nel giro di una settimana, un ricercatore di sicurezza ha scoperto in Internet Explorer una vulnerabilità ancora non corretta. Questa volta si tratta di un problema relativo alla gestione dei controlli ActiveX che interessa le versioni di Windows XP e Server 2003 prive dell’ultimo service pack (SP).
In questo advisory , FrSIRT classifica il problema “ad alto rischio” e spiega che la debolezza potrebbe essere sfruttata da un aggressore remoto per “prendere il completo controllo di un sistema vulnerabile”.
La falla potrebbe consentire la manipolazione del box di dialogo che IE visualizza prima dell’installazione o dell’esecuzione di un programma ActiveX: un sito potrebbe sfruttare questa possibilità per indurre un utente ad autorizzare il download e l’esecuzione dell’ActiveX. FrSIRT avverte che su Internet è già stato pubblicato un exploit dimostrativo.
La vulnerabilità interessa tutte le versioni di IE tranne la 7 Beta 2 e tutte le versioni di Windows tranne XP con SP2 e Server 2003 con SP1.
Un portavoce di Microsoft ha minimizzato la serietà della falla spiegando che questa non può essere sfruttata per eseguire del codice, inoltre un eventuale attacco richiederebbe una certa interazione da parte dell’utente. Il big di Redmond prevede di correggere il bug in una delle prossime collezioni di fix.
Di fix si sta occupando anche Mozilla Foundation , impegnata nella correzione di una recente falla scoperta in Firefox. Sebbene Secunia consideri il problema di scarsa entità, lo scopritore della debolezza ha spiegato in questo advisory che esiste la possibilità di sfruttare il bug anche per eseguire del codice da remoto.