Con Microsoft impegnata a rinnovare Edge abbracciando Chromium nel tentativo di colmare almeno in parte il gap che separa il software del concorrente Chrome in termini di market share, l’altro browser di Redmond, Internet Explorer, torna a far parlare di sé per via di un nuovo problema legato alla sicurezza. Riguarda la gestione dei file MHT (MHTML Web Archive) e costituisce un serio rischio.
Internet Explorer, MHT e vulnerabilità
Per chi non ne fosse a conoscenza, si tratta di un formato ormai pressoché caduto in disuso, un tempo impiegato per salvare nel disco fisso una pagina Web e i contenuti ad essa correlati con un semplice Ctrl+S, oggi sostituito da HTML. Una vulnerabilità 0-day (XML eXternal Entity) permette a un malintenzionato di far leva su un comportamento non previsto del software e mettere le mani nel sistema di un malcapitato utente sottraendogli file o documenti, sfruttando il modo in cui IE gestisce i comandi Duplica Scheda (Ctrl+K), Anteprima di Stampa e Stampa.
Tutto questo da remoto e senza alcun tipo di segnale o avviso a manifestare il pericolo. Di seguito un filmato che dimostra l’efficacia dell’attacco, mentre chi desidera approfondire la questione può farlo consultando un documento condiviso dal ricercatore John Page, che ha deciso di rendere nota la questione dopo aver chiesto il 27 marzo a Microsoft di risolvere il problema, ricevendo però in risposta un secco no, poiché non ritenuto una priorità. Questa la replica del gruppo di Redmond.
Abbiamo stabilito che un fix per il problema sarà considerato in una versione futura di questo prodotto o servizio. Al momento non forniremo aggiornamenti sullo stato del fix per il problema in questione e il caso è da considerarsi chiuso.
La vulnerabilità interessa la versione 11 (la più recente) di Internet Explorer sui sistemi operativi Windows 7, Windows 10 e Windows Server 2012 R2, anche se aggiornati con tutte le ultime patch. Microsoft, come detto in apertura, spinge gli utenti a utilizzare Edge come browser per la navigazione, ma va detto che IE è ancora installato sui PC di default e che l’apertura dei file MHT è associata in modo standard al software: è dunque sufficiente un doppio click per inciampare nel problema, con conseguenze non trascurabili in termini di sicurezza. Tutto questo senza dimenticare che, ad oggi, il 7,34% degli utenti a livello globale (fonte NetMarketShare) ancora si affida a Internet Explorer per le proprie attività online quotidiane.