Newport Beach (USA) – Ha tutta l’aria di una bomba ad orologeria quella appena innescata dalla divulgazione, da parte del ricercatore di sicurezza danese Thor Larholm, di una voragine scoperta di recente in Internet Explorer, Outlook e Outlook Express. La vulnerabilità, descritta in un advisory pubblicato da PivX Solutions – società di sicurezza con cui Larholm collabora -, può essere sfruttata attraverso script inclusi in oggetti HTML che rendono possibile, per un aggressore, elevare i propri privilegi, leggere file e cookie o eseguire programmi che si trovino sul computer dell’utente.
Secondo l’esperto di sicurezza, un aggressore è in grado di compiere queste azioni semplicemente inducendo l’utente a cliccare su di un link apparentemente innocuo incluso in un documento Web o in una e-mail in formato HTML. PivX ha pubblicato alcuni esempi all’interno del proprio avviso di sicurezza: lettura di cookie , lettura di file ed esecuzione di comandi .
La falla, appartenente alla tipologia denominata “cross-domain scripting”, è stata scoperta da Larholm il 25 giugno: lo stesso giorno il ricercatore sostiene di aver segnalato il problema a Microsoft. Lo scorso mercoledì, dunque a due settimane dalla scoperta, Larholm ha deciso di pubblicare, nonostante l’assenza di una patch, il codice dell’exploit con cui è possibile sfruttare la vulnerabilità.
“Dato che è possibile che la cosa sia già di pubblico dominio – si è giustificato Larholm – ho deciso di rilasciare questo avviso dopo solo due settimane di tempo”.
Microsoft, che ha giudicato la decisione di Larholm “irresponsabile”, ha fortemente criticato la scelta del ricercatore di pubblicare i dettagli del problema prima che questo sia stato risolto. Il big di Redmond, che ha ammesso la gravità del bug, ha voluto precisare che esistono fattori mitiganti legati al problema non citati nell’advisory di PivX: in particolare, il big di Redmond ha spiegato che sono afflitti dalla vulnerabilità solo quelle versioni di Outlook e Outlook Express a cui non siano state applicate alcune vecchie patch di sicurezza. Gli utenti di Internet Explorer sembrano invece al riparo da attacchi solo se hanno configurato il livello di protezione del proprio browser su “Siti attendibili”: un’impostazione “estrema” utilizzata solo da una piccolissima fetta di utenti.
In attesa che Microsoft rilasci una patch, Larholm raccomanda agli utenti di IE di disabilitare i controlli ActiveX nelle impostazioni di sicurezza del proprio browser. Le versioni di IE in cui è stata accertata la vulnerabilità sono la 6.0 e la 5.5 per Windows (98, XP, NT4, 2000).