Una vulnerabilità di Internet Explorer nell'esecuzione di codice remoto ha fatto scattare l'allarme sicurezza a Redmond. A quanto pare un utente su 500 sarebbe esposto a rischi visitando siti Internet non sicuri. La falla permetterebbe ad eventuali hacker di eseguire codice in remoto su una sessione di Internet Explorer, per ottenere l'accesso al PC e compromettere così il sistema. Microsoft è già corsa ai ripari.

Il problema è stato classificato con codice CVE-2008-4844 e riguarda le versioni 5.01, 6, 6 SP1 e 7 di Internet Explorer, indipendentemente dai sistemi operativi utilizzati, che si tratti di Windows 2000, Windows XP SP2, Windows Server 2003 SP1 e SP2, Vista SP1 o Windows Server 2008. Il problema colpisce peraltro sia le versioni a 32bit che a 64bit del browser, perfino le build "IA64" che girano su processori Itanium. Si tratta di una vulnerabilità di tipo RCE (Remote Code Execution) ossia legata all'esecuzione di codice remoto da parte di utenti malintenzionati. Il "bug" risiede nella DLL "mshtml.dll" ed entra in gioco durante la visualizzazione di un documento XML contenente elementi SPAN "annidati". La vulnerabilità colpisce in particolare quegli utenti che accedono al proprio sistema usando account con privilegi amministrativi.

In un bollettino emesso oggi Microsoft sostiene di aver risolto il problema di sicurezza attraverso un update considerato "critico". L'update, con codice MS08-078 interviene gestendo la condizione di errore che conduce all'exploit ed è disponibile per tutte le versioni del popolare web browser attraverso Windows Update.

TrackBack URI for this entry

Commenti (0)

Mostra/Nascondi form commento

Nome

Email

Titolo

Commento

smaller | bigger

I have read and agree to the Terms of Usage.

Scrivi i caratteri mostrati

Aggiungi Commento