Una nuova falla per Explorer, classificata come estremamente critico.
Sono giorni caldi dal punto di vista delle vulnerabilità software. Dopo le
falle scoperte nel Flash Player di Adobe e la comunicazione del rilascio di
nuove versioni di Thunderbird e Firefox da parte di Mozilla, ecco che Microsoft
si trova a fare i conti con una nuova grave vulnerabilità di Internet
Explorer.
Il problema è stato classificato da Secunia come “estremamente
critico” (il massimo grado di pericolosità possibile secondo l’azienda danese da
tempo attiva nel campo della sicurezza informatica) e Microsoft stessa ha
ritenuto opportuno pubblicare, sul suo sito web, un bollettino che spiega la
natura della falla e quali soluzioni sia possibile intraprendere per arginare il
problema.
La pericolosa lacuna risiede nel file “daxctle.ocx” (Microsoft
Multimedia Controls), componente ActiveX utilizzato da Internet Explorer e,
nello specifico, nella funzione “CPathCtl::KeyFrame()”. Sono purtroppo già in
circolazione in Rete codici exploit in grado di far leva sulla vulnerabilità di
sicurezza e consentire quindi, da remoto, l’esecuzione di codice nocivo su ogni
macchina “presa di mira”.
Secondo quanto dichiarato dal colosso di
Redmond a rischio sarebbero soprattutto i sistemi Windows 2000 ma anche quelli
basati su Windows XP. L’attacco avviene, di fatto, nel momento in cui l’utente
visiti – solo tramite Internet Explorer – un sito web “maligno” che contenga il
codice exploit in grado di sfruttare il problema relativo al file “daxctle.ocx”.
Per il momento Microsoft non ha rilasciato una patch risolutiva: si sta
ancora valutando la gravità del problema. Nel caso in cui l’incidente fosse
considerato come estremamente critico, potrebbe venire rilasciato un
aggiornamento ben prima di Martedì 10 Ottobre, data del prossimo “patch day”
ufficiale. Secunia consiglia di disattivare il download e l’esecuzione dei
controlli ActiveX (agendo sulle impostazioni del browser od installando un
software “personal firewall” che permetta di filtrare i contenuti delle pagine
web) accettandoli esclusivamente da siti di fiducia. I controlli ActiveX e la
loro gestione continuano ad essere una spina nel fianco per Internet Explorer.
