Copenaghen (Danimarca) – Sono cinque le vulnerabilità di sicurezza di Internet Explorer che la società danese Secunia ha descritto, classificandole come “estremamente critiche”, in un suo recente advisory .
Scoperte dall’esperto di sicurezza Liu Die Yu, le falle interessano le versioni 5.x e 6 di IE e, secondo l’avviso, “possono essere sfruttate in combinazione per compromettere il sistema di un utente”.
Yu ha spiegato che le vulnerabilità possono consentire ad un aggressore di aggirare il controllo di sicurezza di IE, installare sul computer di un utente codice malizioso, eseguire script con gli stessi privilegi dell’utente locale e scoprire in quale cartella IE archivia i file temporanei. Quest’ultimo problema sembra tuttavia interessare solo alcune versioni di IE e, secondo Yu, potrebbe essere stato corretto dalle ultime patch rilasciate da Microsoft.
Tutti e cinque i problemi di sicurezza possono essere risolti, in attesa che il big di Redmond rilasci dei fix, disabilitando la funzionalità “active scripting”, la stessa che in IE consente l’esecuzione (di default automatica) di script, scritti in Javascript o VBScript, e di controlli ActiveX.
Un portavoce di Microsoft ha fatto sapere che l’azienda, attualmente impegnata nell’investigare i problemi, “è preoccupata dal fatto che la divulgazione delle vulnerabilità non sia avvenuta in modo responsabile, mettendo così potenzialmente a rischio la sicurezza degli utenti di computer”. La critica di Microsoft si riferisce al fatto che Yu ha pubblicato, prima del rilascio delle patch, porzioni di codice che mostrano come sfruttare le falle di IE.