Roma – Sfruttando una vulnerabilità contenuta nel meccanismo di protezione dei download di Internet Explorer, un malintenzionato potrebbe scaricare un file malevolo sul PC di un utente senza che questi se ne accorga.
A scoprire la debolezza è stato un hacker che si fa chiamare Rafel Ivgi, lo stesso che, in questo advisory , ha pubblicato il codice sorgente dell’exploit con cui è possibile sfruttare la falla: Microsoft , come noto, è fortemente contraria alla divulgazione dei dettagli relativi a falle ancora senza patch.
Il problema di sicurezza, confermato da Symantec , interessa anche la versione di IE contenuta nel Service Pack 2 per Windows XP. Un aggressore può sfruttare la vulnerabilità creando un documento HTML che, una volta aperto o cliccato, avvia il download di un file senza mostrare la classica finestra di conferma: in questo modo un sito Web malevolo potrebbe diffondere, ad esempio, virus e altri tipi di malware.
La falla non può essere utilizzata per eseguire un file, tuttavia il timore degli esperti di sicurezza è che i cracker se ne possano servire in congiunzione con altri bug di IE.
Microsoft non ha ancora rilasciato commenti ufficiali in merito al problema.
All’inizio di gennaio sono state scoperte due vulnerabilità anche nei browser Mozilla e Firefox, tra cui una utilizzabile da un sito malevolo per mascherare, nella finestra di dialogo dei download, la vera origine di un file.
Ti potrebbe interessare
17 gen 2005