Redmond (USA) – Anticipando l’appuntamento con i bollettini di sicurezza periodici, attesi verso la metà di agosto, Microsoft ha reso disponibile alcune patch per Internet Explorer che correggono tre vulnerabilità classificate come “critical”.
Le correzioni, dettagliate nel bollettino MS04-025 , riguardano tutte le versioni ancora supportate di IE, dalla 5.01 alla 6: in certi casi possono essere sfruttate da un aggressore per attacchi di denial of service o l’esecuzione di codice da remoto.
Uno dei fix dovrebbe mettere definitivamente fine, secondo Microsoft, alla minaccia rappresentata da Download.Ject , un tipo di attacco utilizzato lo scorso giugno da cracker russi per diffondere il cavallo di Troia Scob. All’inizio di luglio, con quella che Microsoft definì “una soluzione temporanea al problema”, rilasciò una patch che disattivava un elemento del proprio browser.
Download.Ject è una vulnerabilità di tipo cross-domain che può essere utilizzata dai cracker per eseguire del codice da remoto senza che l’utente si renda conto di quanto sta succedendo. La falla interessa le versioni di IE dalla 5.5 alla 6, ma su Windows Server 2003 Microsoft la considera di rischio “moderato”.
Il nuovo bollettino di sicurezza contiene altre due patch “critiche”, entrambe relative a noti bug di IE nel trattamento delle immagini: in un caso il problema è legato ai file grafici in formato BMP, mentre nell’altro a quelli in formato GIF. Entrambe le vulnerabilità possono essere utilizzate da un aggressore per eseguire del codice a propria scelta da remoto e guadagnare il completo controllo di un computer.
“Queste vulnerabilità vengono considerate relativamente semplici da sfruttare”, si legge in un advisory del CERT. “Anche gli utenti più vigili possono rimanere vittima di queste falle nel caso in cui visitino un sito Web malevolo, visualizzino un’immagine malformata o leggano una e-mail HTML”.
Microsoft ha raccomandato ai propri utenti di installare le nuove patch quanto prima.
Ieri, con un aggiornamento al proprio bollettino, Microsoft ha avvisato gli utenti del nuovo Windows Update 5 della necessità di riscaricare le patch: per un errore, infatti, sono state distribuite versioni non definitive. Il big di Redmond ha minimizzato l’accaduto spiegando che la nuova versione del proprio servizio di aggiornamento è al momento utilizzata da un esiguo numero di utenti, per la maggior parte beta tester. Microsoft ha iniziato a distribuire agli utenti il componente ActiveX di Windows Update 5 proprio in questi giorni: coloro che hanno la funzionalità Aggiornamenti Automatici attivata dovrebbero ricevere l’update entro le prossime settimane, mentre gli altri dovranno attendere qualche settimana in più.
Negli scorsi giorni anche i browser della |Mozilla Foundation| sono incorsi in alcuni problemi di sicurezza, in parte già noti. In un avviso la società di sicurezza Secunia ha spiegato che un sito Web malevolo può utilizzare dei file XUL, lo stesso linguaggio con cui è scritta l’interfaccia grafica di Mozilla e Mozilla Firefox, per modificare l’apparenza del browser (toolbar, finestre di dialogo, barra dell’indirizzo, ecc.): ad esempio, un sito Web malevolo potrebbe sfruttare la debolezza per visualizzare una finestra popup che ricrei alla perfezione l’aspetto di Mozilla o per visualizzare delle finestre di dialogo false.