La lacuna è stata classificata come “altamente critica” da Secunia. Riguarda i tag object e può essere sfruttata per eseguire codice maligno.
Non c’è tregua per Internet Explorer. Dopo il rilascio, nei giorni scorsi,
di un aggiornamento cumulativo per il browser teso a risolvere una decina di
vulnerabilità di sicurezza, Microsoft si trova ora a che fare con la
pubblicazione in Rete delle informazioni relative ad una nuova lacuna presente
all’interno del suo prodotto.
Il problema si presenta nel momento in cui Internet Explorer dovesse trovarsi
a trattare pagine Web contenenti una serie di tag "object"
nidificate: un aggressore remoto, invitando la vittima a visitare un
sito progettato per far danni, può essere in grado di sfruttare la vulnerabilità
per eseguire codice potenzialmente nocivo.
Un portavoce Microsoft ha dichiarato come le investigazioni iniziali abbiano
confermato l’esistenza del problema ma come la lacuna abbia portato esclusivamente
alla chiusura inattesa del browser. Lo stesso Michal Zalewski, ricercatore che
ha scoperto la vulnerabilità pubblicandone dettagli tecnici sul Web senza
però notificarli prima direttamente a Microsoft, sostiene come il problema
sia complesso, difficile da "debuggare" e che, sebbene non pienamente
affidabile, possa costituire un vettore d’attacco per l’esecuzione di codice
da remoto.
Da parte sua, Secunia
ha bollato immediatamente la vulnerabilità come "altamente critica"
mentre 7,5 su scala 10 è la valutazione data da Symantec circa la gravità
della nuova minaccia.
