QR code per la pagina originale

Microsoft: patch previste per il 9 Novembre

La falla che colpisce Internet Explorer facendo leva sui tag FRAME e IFRAME vede aggravata la propria pericolosità a causa della pubblicazione in rete di un pericoloso exploit. Microsoft, intanto, cambia la propria politica di intervento sulla sicurezza.

,

La falla di Internet Explorer resa nota da Secunia pochi giorni or sono vede aggravata la propria pericolosità in quanto si segnala la presenza in Rete di un pericoloso exploit. Il bug è insito delle proprietà dei tag FRAME e IFRAME ed il pericolo può provenire nella fattispecie da NAME ed SRC.

Il codice maligno può essere inserito sia in una mail che in una normale pagina web e dunque, non esistendo precisa risoluzione al tutto, le soluzioni percorribili sono soltanto due: non utilizzare IE (né Outlook, nè Outlook Express, né Lotus Note) oppure passare al SP2 di XP, in quanto risultato incolume dalla falla. Alternativamente è possibile disattivare le Active X, disabilitare la lettura di mail in formato HTML ed evitare la navigazione su url non conosciuti.

L’exploit in grado di sfruttare la falla in esame è tale da provocare il buffer overlow del sistema: un attacco remoto permette dunque di prendere il controllo della macchina colpita. Secondo quanto segnalato dal CERT la falla sarebbe stata scoperta sfruttando un apposito software (Mangleme) in grado di generare codice HTML mal formato per mettere alla prova il sistema di interpretazione dei vari browser.

A partire da questo mese, inoltre, Microsoft pubblicherà in anticipo il proprio programma di intervento sui problemi di sicurezza evidenziatisi nei propri prodotti. In particolare il prossimo bollettino è previsto per il 9 Novembre e a tre giorni di distanza dal rilascio degli interventi risolutivi se ne è già data notizia ufficiale sul sito ufficiale Microsoft. Anticipando la data di rilascio delle patch, Microsoft comunicherà anche il grado di importanza dei vari pacchetti e indicherà per quali software sia consigliato il download.