Il team di Grey Magic Software ha recentemente pubblicato un articolo nel quale descrive una falla scoperta in IE all'inizio dello scorso agosto: un difetto di implementazione del motore di rendering HTML consente all'attaccante di eseguire codice arbitrario sul computer che visiti una pagina web suddivisa in settori mediante le tags frame o iframe. La medesima vulnerabilità consente inoltre all'attaccante di leggere i cookies e, in generale, i files della vittima, nonché di assumere l'identità di altri siti.

La vulnerabilità, molto pericolosa in sé, risulta ancora più grave in quanto indipendente dalle impostazioni di sicurezza del browser: l'unico modo per mettersi al sicuro è disabilitare l'Active Scripting di IE o, come suggerisce The Register, utilizzare un altro browser.

Grey Magic Software pubblica anche un frammento di codice in grado di sfruttare la falla per leggere i cookies della vittima: è facile prevedere che ciò provocherà le ire di Microsoft, da sempre sostenitrice dell'esistenza di un presunto obbligo di segretezza a carico di chiunque scopra vulnerabilità. Ma nessuno potrebbe definire irresponsabile il comportamento di GMS: infatti, dal momento della scoperta della falla (e della sua segnalazione a Microsoft) a quello della pubblica diffusione delle informazioni, è trascorso oltre un mese: nel frattempo sarebbe stato, piuttosto, preciso dovere di Microsoft informare tempestivamente i suoi clienti e far pervenire loro una patch adeguata.

Invece, a quanto pare, in quel di Redmond il problema non è avvertito come prioritario: il service pack 1 per Internet Explorer 6, rilasciato il 9 settembre dopo svariati tentennamenti nel mese di agosto, non solo non risolve la vulnerabilità di cui ci stiamo occupando, ma, anzi, ne lascia insolute diverse altre di vecchia data. Evidentemente esse non sono ritenute critiche, o almeno non abbastanza per investire tempo e denaro nel ricercare una soluzione definitiva.

Senza contare che chi abbia effettuato l'upgrade da IE 5.5 a IE 6 prima di installare il Service Pack 1, potrebbe prima o poi scoprire che la disinstallazione di quest'ultimo determina automaticamente anche la rimozione di Internet Explorer 6.

Ma non basta: come gli utilizzatori di Explorer rischiano di imparare a proprie spese, molteplici vulnerabilità di poco conto possono essere sfruttate in combinazione per portare a compimento attacchi di indiscutibile gravità: Malware.com dimostra che, sfruttando una falla nota da oltre un anno in Windows Media Player (tuttora priva di patch), unitamente a un paio di bachetti di Explorer (a loro volta noti da tempo), è possibile eseguire programmi a piacere sul computer vittima. Basta che l'utente di IE scarichi da una pagina web un pacchetto multimediale WMD contenente l'eseguibile, opportunamente dissimulato.

Malware.com ironizza sulla terminologia abitualmente utilizzata da Microsoft nei bollettini di sicurezza nel tentativo di minimizzare la portata delle vulnerabilità: "Non esistono 'fattori mitigantì e 'barrierè. E' una menzogna. Pura fantasia. Una invenzione. Correggete le falle il più in fretta possibile! Per ogni ragione per la quale voi credete che non si riesca a sfruttarle, ne esistono almeno 10 per le quali invece si riesce, eccome!"

Non possiamo che condividere, soprattutto perché ora Microsoft tenta di scaricare il barile sugli utenti, che, irresponsabili pelandroni, si ostinerebbero a non installare le patch con sufficiente prontezza.

Ragazzi, per favore, non siate ridicoli.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: