GRAVE FALLA IN INTERNET EXPLORER SU WINDOWS XP

GRAVE FALLA IN INTERNET EXPLORER SU WINDOWS XP

Una pericolosa vulnerabilità di Internet Explorer consente di eseguire codice malevolo sul Pc degli utenti. Basta premere F1 visitando un sito insicuro e il computer è compromesso. Il ballot screen non poteva arrivare in un momento più propizio, almeno per gli utenti dell'accoppiata Windows Xp e Internet Explorer, nelle versioni 6, 7 o 8. Microsoft ha infatti segnalato la presenza di una vulnerabilità già sfruttata da un exploit pubblico.

Un malintenzionato, se riesce ad attirare un utente su un proprio sito e a convincerlo a premere il tasto F1, può ottenere la possibilità di eseguire codice arbitrario sul computer vittima. "Il problema" - spiega il Microsoft Security Response Center - "coinvolge l'uso di VBScript e dei file di Windows Help in Internet Explorer. I file dell'aiuto di Windows sono inclusi in una lunga lista di ciò che chiamiamo 'tipi di file non sicuri'".

Questi file sono progettati per compiere delle azioni automatiche durante l'uso normale; se si riesce a convincere qualcuno ad aprire l'aiuto mentre sta visitando un sito pericoloso, è possibile compromettere il suo Pc. A mitigare la pericolosità di questa falla c'è l'immunità di Windows Vista e Windows 7, anche se la tutt'ora elevata diffusione di Windows Xp mette a rischio un elevato numero di utenti.

Ancora non si sa se Microsoft riuscirà a includere la correzione necessaria già nel prossimo Patch Tuesday (fissato per martedì 9 marzo), se bisognerà aspettare quello di aprile o se la patch sarà rilasciata fuori ciclo.

MICROSOFT CONFERMA IL BUG DEL TASTO F1

Il bug c'è, la patch no. Microsoft ha confermato l'esistenza della falla in Internet Explorer se eseguito sotto Windows 2000, Xp o Server 2003 e relativa all'Help di Windows. Ancora non ci sono attacchi su larga scala, ma il bug esiste e non si sa quando arriverà la patch.

"Non siamo a conoscenza di alcun attacco che cerchi di sfruttare queste vulnerabilità né di alcun effetto sugli utenti, al momento" ha poi commentato l'azienda, infuriata perché chi ha scoperto il bug ha diffuso le informazioni relative senza fare nemmeno una telefonata a Redmond.

Anche se ancora non ci sono attacchi in grande stile, la situazione non va sottovalutata poiché il codice per l'exploit è già pubblico. Un malintenzionato, se riesce ad attirare un utente su un proprio sito e a convincerlo a premere il tasto F1, può ottenere la possibilità di eseguire codice arbitrario sul computer vittima sfruttando VBScript e la gestione dei file di Windows Help.

Microsoft non si è sbilanciata circa la realizzazione e la distribuzione di una patch, che potrebbe non arrivare insieme alla prossima ondata di aggiornamenti, prevista per martedì 9 marzo. Confermata, invece, l'impossibilità di sfruttare il bug se Internet Explorer viene eseguito con Windows Vista, 7, o 2008 Server.