Redmond (USA) – Negli scorsi giorni Microsoft ha rilasciato tre patch per altrettante vulnerabilità di sicurezza classificate come “critiche”. Le patch riguardano Windows XP, Internet Explorer e Commerce Server 2000.
La prima falla affligge le versioni 5.01, 5.5 e 6.0 di IE e rende possibile, per l’operatore di un sito Web, leggere file sul computer dell’utente e rubare le informazioni digitate all’interno di form, come nome utente, password, numeri di carte di credito ecc.
Nel bollettino di sicurezza MS02-009 Microsoft ha spiegato che il problema risiede nel modo in cui IE gestisce lo scripting attraverso domini interni ai frame: del codice VBScript può infatti essere eseguito sul dominio dell’aggressore per leggere dati in un frame appartenente ad un altro dominio, che potrebbe essere quello del PC dell’utente o di un sito di e-commerce.
La seconda vulnerabilità di sicurezza, descritta nel bollettino MS02-008 riguarda ancora il rischio, per gli utenti, che un sito Web malizioso possa leggere i propri file.
Questa falla risiede nel controllo ActiveX XMLHTTP distribuito insieme a IE 6.0, Windows XP e SQL Server 2000. Questo controllo, che fa parte del cuore dei servizi XML di Microsoft, può consentire ad un aggressore di confezionare una pagina Web ad hoc contenente alcune direttive in grado di superare la configurazione di sicurezza delle zone di IE e leggere file sull’hard disk dell’utente.
La terza falla, descritta nel bollettino MS02-010 mette invece fine ad un buffer overrun contenuto nel software per il commercio elettronico Commerce Server 2000. La falla, scoperta in una recente revisione interna del software, potrebbe consentire ad un aggressore di prendere il pieno controllo di un sistema.
Ti potrebbe interessare
25 feb 2002