Redmond (USA) – A distanza di circa tre mesi dal rilascio dell’ ultima megapatch per Internet Explorer , Microsoft propone ora con urgenza ai propri utenti una nuova patch cumulativa che, oltre a contenere tutte le vecchie “toppe” per IE 5.01, 5.5 e 6.0, corregge sei nuove vulnerabilità, fra cui tre classificate come “critiche”.
La falla più seria, l’unica a poter consentire ad un aggressore l’esecuzione di programmi sul computer dell’utente, interessa soltanto Internet Explorer 6 e fa parte del genere “cross site scripting”. La vulnerabilità potrebbe essere sfruttata attraverso una pagina Web o una e-mail HTML contenenti un URL malevolo che, una volta cliccato, consente al cracker di eseguire sulla macchina dell’utente uno script nella zona di sicurezza “Computer Locale”.
Le altre due falle critiche riguardano il modo in cui IE gestisce i file Cascading Style Sheets e i cookie. Nel primo caso un aggressore potrebbe sfruttare la vulnerabilità per leggere un qualsiasi file sul computer dell’utente, mentre nel secondo caso potrebbe servirsene per leggere o modificare qualsiasi cookie. In entrambi i casi l’aggressore dovrebbe però essere a conoscenza del nome del file e della sua locazione.
Fra le altre vulnerabilità ve ne è una descritta come “zone spoofing”, attraverso cui è possibile far credere a IE che una pagina Web appartenga ad una zona di sicurezza con meno restrizioni (“Intranet locale” o, in casi più rari, “Siti Attendibili”) e due varianti del “Content Disposition”, una debolezza sfruttabile per far scaricare ed eseguire in automatico ad IE file eseguibili.
La megapatch, descritta nel bollettino di sicurezza MS02-023 , va poi a disattivare il ricevimento dei frame dalle impostazioni di sicurezza della zona “Siti con restrizioni” di IE.
Del “peso” di circa 2 MB, la patch può essere scaricata attraverso il Windows Update oppure, manualmente, da questo link .