Redmond (USA) – Con il nuovo bollettino di sicurezza MS03-020 Microsoft ha reso disponibile una megapatch per Internet Explorer che, oltre a contenere le correzioni di tutte le precedenti vulnerabilità di sicurezza, mette una toppa a due nuove falle scoperte in tutte le versioni ancora supportate del browser: la 5.01, la 5.5, la 6.0 e la 6.0 per Windows Server 2003.
Il primo problema di sicurezza consiste in un buffer overrun causato dalla non corretta identificazione, da parte di IE, del tipo di un oggetto – come un documento di Office o un file multimediale – inglobato in una pagina Web. Microsoft spiega che un aggressore potrebbe sfruttare il bug per far girare sul computer vulnerabile del codice a propria scelta.
“Se un utente visita un sito Web dell’aggressore – si legge nel bollettino di Microsoft – quest’ultimo potrebbe essere in grado di sfruttare la vulnerabilità senza altra azione da parte dell’utente”. L’aggressore potrebbe sfruttare la falla anche attraverso una e-mail HTML.
La seconda vulnerabilità di sicurezza è invece causata, secondo quanto spiega Microsoft, dal fatto che “IE non implementa un appropriato blocco nella casella di dialogo relativa al download dei file”. Un aggressore può sfruttare questa debolezza per far partire un download in automatico e mandare in esecuzione il file scaricato sul sistema della vittima. Anche in questo caso l’exploit può essere incluso in una pagina Web o in una e-mail HTML.
Entrambe le vulnerabilità sono state classificate da Microsoft con il massimo grado di rischio, “crucial”, su tutte le versioni di Windows tranne l’edizione Server 2003: qui il rischio viene considerato come “moderate”. Il big di Redmond afferma infatti che Windows Server 2003, nella sua configurazione predefinita, non è vulnerabile agli attacchi descritti in precedenza. Il merito, secondo Microsoft, è delle strategie di sicurezza seguite nello sviluppo del nuovo sistema operativo: fra queste “Secure by Default”, ossia il tentativo di ridurre la “superficie di attacco” attraverso la disattivazione, per default, di tutte le funzionalità potenzialmente pericolose (demandandone eventualmente l’attivazione all?utente) e l’utilizzo dei privilegi minimi richiesti per il funzionamento di un servizio.