Roma – Nonostante in questo periodo i riflettori dei media fossero puntati su Firefox , i cacciatori di bug sembrano non aver distolto la propria attenzione da Internet Explorer. Il browser di casa Microsoft è infatti al centro di due nuovi advisory di sicurezza in cui si descrivono tre vulnerabilità non ancora corrette.
In questo bollettino Secunia spiega che le due falle più serie, classificate come “moderatamente critiche”, “possono essere sfruttate, in combinazione, da un sito Web malevolo per indurre un utente a scaricare un file eseguibile malevolo mascherato da documento HTML”. Entrambe le vulnerabilità interessano Internet Explorer 6.0, incluso il Service Pack 2 per Windows XP.
Il primo bug permette ad un sito malevolo di bypassare il controllo di sicurezza dell’SP2 sui tipi di file pericolosi, mentre il secondo consente di mascherare la vera estensione di un file (ma funziona solo se l’utente ha lasciato abilitata la funzione predefinita di Windows “Nascondi le estensioni per i tipi di file conosciuti”). La descrizione della prima vulnerabilità è simile a quella segnalata di recente da Finjan Software, la stessa società secondo cui nell’SP2 vi sarebbero 10 problemi di sicurezza . Per il momento non è dato sapere se le due falle sono effettivamente le stesse.
In attesa che Microsoft rilasci una patch, Secunia ha suggerito agli utenti di disabilitare l’Active Scripting di IE e l’opzione “Nascondi le estensioni per i tipi di file conosciuti” delle cartelle di Windows.
Una terza vulnerabilità minore, descritta qui , può invece essere utilizzata da un sito Web malevolo per sovrascrivere i cookie di altri siti: questo può tuttavia avvenire solo in alcune circostanze e funziona solo con le versioni di Windows XP prive dell’SP2.
Microsoft ha detto di essere al corrente di tali advisory e di stare investigando sui problemi segnalati. Il colosso non ha mancato di criticare la scelta degli scopritori dei tre bug di rilasciare i dettagli delle falle senza attendere la disponibilità delle relative patch.
Negli scorsi giorni George Stathakopoulos, director della product security di Microsoft, ha svelato che la propria azienda sta lavorando sull’ipotesi di allungare il ciclo di pubblicazione dei bollettini di sicurezza, portandolo da uno a sei mesi. Stathakopoulos afferma che ciò sarà possibile grazie all’elevata sicurezza che offrirebbero i più recenti software di Microsoft, incluso Windows XP SP2, in congiunzione con le ultime generazioni di processori dotati del supporto al bit No eXecute (NX).