Redmond (USA) – Microsoft, che nel rilascio delle patch cumulative per Internet Explorer sembra ormai seguire una cadenza trimestrale, lo scorso giovedì ha messo a disposizione per il download una nuova megapatch che, oltre a correggere tutte le vecchie vulnerabilità delle versioni 5.01, 5.5 e 6.0 del proprio browser, mette fine a sei nuovi problemi di sicurezza di media e grave entità.
Le nuove falle corrette dalla megapatch comprendono una nota vulnerabilità riguardante il protocollo Gopher implementato in IE, un buffer overrun contenuto in un controllo ActiveX utilizzato per visualizzare testi formattati in un certo modo, una vulnerabilità riguardante la gestione di un’istruzione HTML per la visualizzazione di dati XML, un problema connesso alla verifica Cross Domain e il tag Object, un bug nel modo in cui IE rappresenta l’origine di un file all’interno della finestra di dialogo del download, una nuova variante della vulnerabilità nota come Cross-Site Scripting in Local HTML Resource .
Le prime due vulnerabilità riguardano tutte e tre le versioni di IE ancora supportate da Microsoft (la 5.01, la 5.5 e la 6.0) e possono consentire ad un aggressore di prendere possesso di un computer remoto od eseguire codice a sua scelta. Le altre due falle, classificate da Microsoft di moderato rischio, possono invece essere rispettivamente usate da webmaster senza scrupoli per leggere alcuni tipi di file sul computer di un utente e per celare l’origine di un file offerto per il download. Il problema di sicurezza legato alla verifica Cross Domain, considerato di livello critico, può consentire ad un aggressore di leggere, ma non scrivere, qualsiasi file su di un computer remoto che possa essere visualizzato in una finestra del browser. La nuova vulnerabilità cross-site scripting, che non affligge IE 6.0, è classificata di rischio moderato e, come le altre debolezze di questo tipo, può essere sfruttata da un cracker per eseguire sulla macchina dell’utente uno script nella zona di sicurezza “Computer Locale”.
La megapatch, discussa nel bollettino di sicurezza MS02-047 , può essere scaricata da qui o attraverso Windows Update.
La precedente patch cumulativa per IE venne rilasciata da Microsoft lo scorso maggio e, come quella attuale, andava a correggere sei nuove vulnerabilità di sicurezza.
Ti potrebbe interessare
26 ago 2002