Explorer, grave pericolo con tanto di exploit

Nel giorno in cui Firefox risolve i propri problemi con la versione 1.5.0.7, Internet Explorer si trova a fare i conti con un nuovo grave problema di sicurezza. Il browser, infatti, soffre di una vulnerabilità giudicata da Secunia al massimo livello di pericolosità («extremely critical») il cui codice di exploit è già disponibile in rete.

Il problema è inerente alla funzione “CPathCtl::KeyFrame()” il cui exploit permette di eseguire codice sulla macchina vulnerabile. L’exploit pubblicato online colpisce principalmente gli utenti Windows 2000, ma Secunia asserisce di aver verificato gravi pericoli anche per utenza dotata di Windows XP SP2 completamente patchato. Il codice sembra essere facilmente utilizzabile come “materia prima” per originare attacchi mirati e molto pericolosi, il che rende particolarmente insidiosa la minaccia.

La conferma del tutto arriva direttamente da Microsoft con l’apposito Security Advisory (925444) in cui si spiegano i dettagli del problema emerso ed è suggerita una serie di azioni “workaround” per arginare temporaneamente il problema. Interessante è notare come Microsoft non escluda la possibilità di un aggiornamento “out-of-cycle”: «dipende dalle necessità degli utenti». Tra le righe si legge insomma una certa preoccupazione e nel caso in cui la minaccia dovesse concretizzarsi in un attacco di massa è possibile un rilascio istantaneo di una patch provvisoria.

Se l’urgenza non dovesse essere invece estrema, v’è da attendersi per il prossimo mese (10 Ottobre) un aggiornamento di sicurezza particolarmente importante. Tra le patch in attesa di risoluzione, infatti, non v’è solo quella odierna di Internet Explorer, ma figura anche il problema identificato in Word 2000. Nel mirino in entrambi i casi gli utenti con Windows 2000, per i quali è dunque necessaria doppia attenzione per le settimane a venire.