Internet Explorer bersaglio di un exploit

Internet Explorer bersaglio di un exploit

In rete circola ormai da giorni un exploit capace di sfruttare una recente vulnerabilità ancora aperta. Le ultime versioni del programmino possono funzionare anche con la build di marzo di IE7
In rete circola ormai da giorni un exploit capace di sfruttare una recente vulnerabilità ancora aperta. Le ultime versioni del programmino possono funzionare anche con la build di marzo di IE7


Roma – Da alcuni giorni circola su Internet un exploit che potrebbe essere utilizzato dai cracker per sfruttare una recente vulnerabilità non patchata di Internet Explorer.

L’exploit, il cui codice è apparso su diversi siti web, trae vantaggio dalla falla nel metodo createTextRange () emersa la scorsa settimana in IE6 e nella preview di gennaio di IE7 Beta 2. Ad inquietare gli esperti di sicurezza è il fatto che il bug, come si è detto, non è ancora stato corretto: secondo le stime, sarebbero già oltre un centinaio i siti che utilizzano l’exploit per installare sui PC degli ignari utenti spyware e malware.

“È solo questione di tempo prima che l’exploit diventi un virus o un worm”, ha affermato Scott Carpenter, director of security labs di Secure Elements, che ha aggiunto: “Il più probabile vettore di attacco per questa vulnerabilità è dato da una e-mail che induce l’utente a cliccare su dei link dannosi”.

Carpenter ha spiegato poi che l’exploit è stato originariamente scritto da un gruppo di hacker noto come Unl0ck.net . Negli ultimi giorni, tuttavia, il codice del programma è stato modificato da molte altre mani: il risultato, secondo l’esperto, è che le ultime versioni dell’exploit funzionano anche sull’ultima build di IE7 . Dunque il suggerimento di aggiornare IE6 alla release pubblica di IE7 non risolve più il problema, almeno non completamente.

Microsoft, che continua a raccomandare ai propri utenti di disattivare l’esecuzione dei Javascript, conta di rilasciare una patch in occasione della pubblicazione dei bollettini di aprile. Nel frattempo eEye Security ha rilasciato un workaround temporaneo scaricabile da qui . Per sapere se si è stati infettati, ed eventualmente eliminare eventuali codici maligni, è possibile utilizzare la versione beta di Windows Live Safety Center , gratuito e utilizzabile senza alcuna registrazione (ma solo con IE).

Ieri Secunia ha invece pubblicato un advisory che conferma una vulnerabilità riportata un paio di settimane fa dall’esperto di sicurezza Jeffrey van der Stad . In questo caso il bug consente l’esecuzione automatica di un file HTA (HyperText Application) inglobato all’interno di una pagina web: ciò può avvenire senza alcuna interazione da parte dell’utente. Van der Stad ha detto che l’ultima build di IE7 non è vulnerabile. Anche in questo caso gli utenti di IE6 possono proteggersi dal bug disattivando l’esecuzione dei Javascript.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
28 mar 2006
Link copiato negli appunti