Israele – La società di sicurezza israeliana GreyMagic Software sostiene di aver scoperto due nuove vulnerabilità di sicurezza di Internet Explorer che vanno ad aggiungersi alle altre sette scoperte dalla stessa azienda negli ultimi mesi. Delle nove vulnerabilità elencate da GreyMagic in questo advisory , le sette più vecchie sono state patchate da Microsoft con il rilascio del recente Service Pack 1 per IE6.
L’azienda israeliana ha spiegato che le due nuove falle, che interessano IE5.5 e IE6, possono consentire ad un aggressore, attraverso poche righe di codice, di leggere e scrivere nella clipboard di Windows, di leggere i cooky, di contraffare le URL, di leggere il contenuto di file locali e, nel caso più grave, eseguire codice.
Sul proprio sito GreyMagic fornisce una dimostrazione di come sia possibile sfruttare queste falle: facendo una prova con Windows XP SP1 e IE6 SP1 si è potuto verificare che il sistema risulta protetto dalle sette falle meno recenti ma vulnerabile alle due più recenti, denominate “external” e “clipboardData”. Nella dimostrazione, gli script di GreyMagic sono stati capaci di leggere un file di testo locale archiviato sul disco C e di leggere e scrivere nella clipboard di Windows XP.
L’azienda suggerisce agli utenti che ancora non lo avessero fatto di installare quanto prima i service pack più aggiornati per la loro versione di IE (5.5 o 6) e di disattivare, in attesa che Microsoft rilasci le patch anche per le ultime due vulnerabilità, l’Active Scripting.
Microsoft non ha ancora confermato l’esistenza delle due vulnerabilità, ma è stata pronta nel dichiarare che GreyMagic, divulgando prima del tempo i dettagli sulle vulnerabilità, mette a repentaglio la sicurezza degli utenti. L’azienda israeliana si è difesa dichiarando che in passato “notificare Microsoft con anticipo e attendere il rilascio di una patch si è rivelato non produttivo”.