eEye e Determina hanno rilasciato aggiornamenti temporanei per la vulnerabilità del browser. In attesa di quella definitiva Microsoft prevista per l’11 aprile
Con un bollettino
pubblicato sul suo sito web, Microsoft ha voluto far chiarezza in merito
alla posizione dell’azienda circa l’ultima grave falla di sicurezza scoperta
in Internet Explorer nei giorni scorsi. Il problema è particolarmente
serio perché il codice exploit per sfruttare la falla è stato
reso pubblico.
La vulnerabilità è causata da un bug nella chiamata della funzione
createTextRange() associata a un oggetto di tipo checkbox.
Una pagina Web contenente elementi confezionati ad hoc per sfruttare questa
falla potrebbero usare l’istruzione createTextRange() per forzare un errore
nella libreria dinamica e aprire di fatto l’intero sistema operativo ad
attacchi di aggressori remoti (download di virus, spyware e malware in generale).
La falla è stata confermata in Internet Explorer 6 con Windows XP SP2.
Anche la versione 7 beta è affetta dallo stesso problema.
Mike Reavey – Lead Security Program Manager del Microsoft Security Response
Center – con una nota pubblicata sul blog ufficiale di MSRC ha puntualizzato
che l’azienda non ha ad oggi rilevato un numero significativo di attacchi tesi
a sfruttare il problema di sicurezza di Internet Explorer. Piuttosto, il colosso
di Redmond sembra si stia muovendo soprattutto in sede legale per determinare
rapidamente la chiusura dei siti web che diffondono codice nocivo.
Reavey consiglia comunque di mantenere aggiornati i software antivirus in
uso mentre Microsoft prosegue nell’elaborazione di una patch correttiva per
il problema che, però, non dovrebbe essere rilasciata prima dell’11
aprile prossimo (secondo martedì del mese). Reavey afferma anche
di essere a conoscenza di patch, sviluppate da terze parti, che offrono una
prima soluzione al problema modificando il comportamento di alcuni aspetti chiave
del sistema operativo. Egli ne sconsiglia però l’installazione rimarcando
come sia solo l’azienda di Redmond ad effettuare test specifici e come non possa
essere garantito il funzionamento corretto di aggiornamenti non ufficiali che
fanno leva su funzionalità operative del sistema.
Da parte sua, eEye – azienda da tempo attiva nel campo della sicurezza informatica
– lancia dure critiche a Microsoft attraverso le parole del portavoce Marc Maiffret,
co-fondatore della società, sottolineando come la gravità della
vulnerabilità di sicurezza sia stata sottovalutata e come i rischi da
essi derivanti non possano essere considerati solamente come "limitati".
eEye ha messo pubblicamente a disposizione una patch temporanea per il problema
di sicurezza di Internet Explorer in questa
pagina. In base alle comunciazioni di eEye, sono stati oltre 34.000 i download
da quando è stata messa on line. Sempre secondoeEye, la patch si rimouve
automaticamente, quando verrà installata quella ufficiale Microsoft.
Anche Determina ha rilasciato un aggiornamento correttivo similare, prelevabile
facendo riferimento al sito web dell’azienda.
