Redmond (USA) – Nel fine settimana Microsoft ha pubblicato un nuovo advisory per rispondere alla recente segnalazione, da parte di alcuni ricercatori di sicurezza, di una falla zero-day celata in un controllo ActiveX di Windows.
La vulnerabilità riguarda il controllo ActiveX XMLHTTP 4.0 , un componente del Microsoft XML Core Services 4.0 di Windows. Sia FrSIRT che Secunia hanno classificato il bug con il massimo grado di pericolosità e hanno spiegato che potrebbe essere sfruttato da remoto per prendere il pieno controllo di un PC.
Come sempre accade quando si parla di ActiveX, i cracker possono utilizzare come vettore di attacco Internet Explorer . Le piattaforme a rischio comprendono tutte le versioni di Windows ancora supportate, dalla 2000 alla 2003 passando per XP, anche se Microsoft puntualizza che Windows Server 2003 e Internet Explorer 7 mitigano significativamente la pericolosità del problema .
BigM ha tuttavia avvisato gli utenti che su Internet circola già un exploit in grado di sfruttare la debolezza per eseguire del codice da remoto. In attesa di una patch, Microsoft fornisce nel proprio advisory alcune soluzioni temporanee per aggirare il problema.
Ti potrebbe interessare
6 nov 2006