2 falle gravi in Explorer con SP2, 1 minore negli altri

Arriva da Secunia la segnalazione degli ennesimi due bug all’interno di Internet Explorer. Il problema coinvolge la versione 6 del browser Microsoft: secondo quanto riportato dal bollettino SA12889, la gravità della falla sarebbe elevata e tale da permettere di bypassare anche le nuove restrizioni di sicurezza imposte da Windows XP SP2.

La prima falla è relativa al “drag and drop” tra la cosiddetta “Area Internet” e le risorse locali: il trasporto di oggetti contenenti codice HTML può permettere l’esecuzione di codice maligno all’interno dell’area denominata “Local Computer”, ove notoriamente viene usato uno standard di sicurezza dalle minori restrizioni.

La seconda falla è in grado di superare le stesse restrizioni già aggirate dal bug precedente e risulta essere attaccabile tramite un semplice link che rimanda ad un apposito file maligno in grado di permettere l’esecuzione di codice HTML nell’area locale.

Entrambe le falle (scoperte e comunicate grazie alla collaborazione di Secunia ed “http-equiv”) sono evidenziate nell’ultima versione di IE e sono state verificate in un sistema completamente patchato e dotato del SP2 di XP. Fonti vicine a Microsoft avrebbero stemperato gli allarmismi comunicando come un attacco alle falle scoperte non sarebbe di facile attuazione.

Mentre Secunia consiglia di disattivare gli Active Scripting o di cambiare browser, arriva altresì dallo stesso gruppo (per ironica par conditio) comunicazione di una falla scoperta all’interno dei vari browser rivali di Explorer. La falla è di rilevanza minore e coinvolge browser quali Opera, Firefox, Safari e Konqueror. Il problema risulta essere già stato risolto nella recente ultima release di Konqueror, mentre Firefox ne annuncia invece la risoluzione con il rilascio della versione 1.0.