Redmond (USA) – Con netto anticipo rispetto alla consueta data di pubblicazione dei bollettini mensili di sicurezza, Microsoft ha rilasciato una patch per Internet Explorer che risolve l’ ormai nota vulnerabilità legata all’attributo IFRAME .
Il big di Redmond raccomanda l’immediata applicazione dell’aggiornamento a tutti i PC con Windows su cui gira IE 6.0: fanno eccezione i sistemi su cui sia stato installato il Service Pack 2 per Windows XP, che secondo Microsoft sono già immuni dal problema.
La vulnerabilità, descritta nel bollettino MS04-040 , consente ad un aggressore di prendere il pieno controllo di un PC da remoto ed eseguire operazioni quali l’installazione di programmi, la visualizzazione, la modifica o l’eliminazione di dati, e la creazione di nuovi account con pieni privilegi.
“Gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all’attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi”, ha sottolineato Microsoft nel proprio advisory.
La patch è arrivata a circa un mese di distanza dalle prime segnalazioni, in rete, della vulnerabilità. Microsoft afferma di aver accelerato i tempi di rilascio in seguito alle minacce alla sicurezza che di recente hanno fatto leva su questa falla: tra queste il worm Bofra, le ultime varianti di MyDoom , e il recente attacco che ha coinvolto un noto circuito di banner.
Il big di Redmond ha criticato la scelta dello scopritore del problema di divulgare le informazioni sulla vulnerabilità prima che questa venisse corretta.
“Non ci stancheremo mai di dire – ha detto un portavoce di Microsoft – che i nostri tecnici hanno bisogno di almeno 30 giorni di tempo per analizzare il problema, sviluppare una correzione e testare la patch su tutte le versioni vulnerabili del software”.
Ieri Microsoft si è anche detta al lavoro per risolvere una vulnerabilità scoperta di recente in Windows Internet Name Service (WINS), un componente di rete installato in molte versioni di Windows: il bug, tuttavia, si troverebbe solo in Windows NT Server 4.0 Small Business Server Edition, Windows 2000 Server e Windows Server 2003. La falla, classificata da Secunia di rischio moderato, può consentire ad un cracker di accedere al server WINS di un’azienda da remoto. Ulteriori dettagli si possono ottenere nell’ advisory pubblicato alcuni giorni fa da Secunia.