Redmond (USA) – Con un certo anticipo rispetto all’usuale data di pubblicazione mensile degli aggiornamenti di sicurezza, Microsoft ha rilasciato una patch cumulativa per Internet Explorer che corregge tre diverse vulnerabilità, di cui una classificata come “critical”.
La falla più seria riguarda il modello di sicurezza cross-domain di IE, lo stesso che dovrebbe restringere la condivisione di informazioni fra differenti domini. Attraverso la creazione di un sito Web o di una e-mail HTML malevoli, un aggressore potrebbe sfruttare la vulnerabilità per accedere alle informazioni di altri siti Web, accedere ai file presenti sul computer dell’utente o, nel caso peggiore, eseguire del codice a propria scelta con gli stessi privilegi dell’utente attualmente loggato nel sistema.
Un’altra falla, classificata come “important”, può essere sfruttata da un aggressore inducendo l’utente ad aprire una pagina o una e-mail HTML contenente dei link DHTML che, se cliccati, scaricano un file in una determinata locazione del computer: sebbene il download avvenga in modo invisibile, a mitigare la gravità di tale bug interviene il fatto che il cracker non ha possibilità di eseguire direttamente il file salvato sul disco dell’ignaro utente.
La terza patch contenuta nell’aggiornamento di sicurezza, di cui si è parlato proprio ieri , disabilita invece quella funzionalità di autenticazione di IE che, come emerse alla fine dello scorso anno , potrebbe consentire ad una persona malintenzionata di nascondere o camuffare l?URL in un e-mail HTML o in una pagina Web per reindirizzare gli utenti verso siti pubblicitari o potenzialmente pericolosi.
Le vulnerabilità sopra descritte interessano tutte le versioni di IE attualmente supportate da Microsoft: le relative patch possono essere scaricare attraverso i link pubblicati nel bollettino di sicurezza MS04-004 o via Windows Update .
Ti potrebbe interessare
4 feb 2004