QR code per la pagina originale

Microsoft ripropone una falla già patchata

18 Febbraio 2002, GreyMagic annuncia di aver scovato una falla all'interno di Internet Explorer e relativa all'interpretazione di documenti XML. Oggi, 2004, a falla risulta essere nuovamente presente nonostante fosse già corretta.

,

Per Microsoft in ambito sicurezza va ora registrata anche una clamorosa autorete, ovvero la ripresentazione di una vecchia falla già patchata ed ora nuovamente ritrovata dopo due anni. La scoperta va attribuita a Georgi Guninski, il quale ha infatti rilevato un bug di vecchia data in precedenza risolto ed oggi nuovamente presente in Internet Explorer 5.01, 5.5 e 6.

Il problema è relativo ad un errato sistema di restrizioni in ambito XML, tale per cui un sito web appositamente creato può permettere a malintenzionati di entrare in possesso di dati sensibili contenuti all’interno della macchina colpita. Nella fattispecie nell’advise datato 18 Febbraio 2002 veniva segnalato come un uso di “src” all’interno del tag <script> potesse permettere di accedere ad un file ed i contenuti potessero infine essere esposti tramite XMLDOM.

Secondo il bollettino Secunia SA12765 la falla risulterebbe ad oggi poco pericolosa, ma il problema di un bug riproposto a distanza di anni dopo una sua precedente risoluzione ripropone altresì la problematica della sicurezza in seno ai prodotti del gruppo Microsoft. La bassa pericolosità del tutto è nella fattispecie legata alle particolari condizioni da ripresentare per ottenere vantaggi particolari da un apposito exploit della falla.