Redmond (USA) – Negli scorsi giorni è venuta alla luce una vulnerabilità potenzialmente grave di Internet Explorer 6 contenuta nella liberia ActiveX Data Objects , ed in particolare nella funzione ADODB.Connection . Il problema, segnalato sia da US-CERT che da SecurityFocus , è stato confermato venerdì in questo post dal Microsoft Security Response Center (MSRC).
Gli esperti di sicurezza hanno spiegato che, sovraccaricando il controllo ActiveX con false espressioni SQL , un aggressore potrebbe riuscire ad eseguire sul sistema remoto del codice a propria scelta. Perché un tale attacco abbia successo, l’utente del sistema vulnerabile deve visitare una pagina web maligna con IE6.
Microsoft non ha specificato se la falla possa essere innescata anche in IE7 , ma se così fosse i nuovi meccanismi di sicurezza implementati in quest’ultimo browser dovrebbero mitigare significativamente la pericolosità del problema.
“Una volta concluse le indagini, e verificato se esiste una minaccia per gli utenti, prenderemo le appropriate misure per proteggere e guidare i nostri clienti”, si legge nel blog di MSRC.
Il controllo ActiveX incriminato fa parte di ADO (ActiveX Data Object), un’interfaccia sviluppata da Microsoft che consente l’accesso veloce ai database per mezzo di ordinari linguaggi di scripting. Sebbene la prima versione sia stata rilasciata nella metà degli anni ’90, ADO è ancor oggi uno dei metodi più utilizzati dai programmatori di Windows per accedere ai database di Access. Da notare che, nonostante il suo nome, ADO non è direttamente correlata alla tecnologia ActiveX.