Due nuove debolezze Microsoft

Microsoft è al lavoro per correggere una problematica emersa in relazione all’utilizzo di Microsoft Office 2003: la distribuzione degli aggiornamenti tramite Microsoft Windows Server Update Services 3.0 (Service Pack 1) verrebbe infatti impedita dalla presenza nei sistemi client di tale versione della suite per ufficio. Si incoraggiano quindi gli amministratori di sistema a leggere attentamente il Microsoft Security Advisory 954960 e ad applicare il workaround ivi descritto.

Nel contempo è emersa una nuova debolezza insita in Internet Explorer, relativa alla gestione dei frame. La falla interessa le versioni del browser Microsoft dalla 6 alla 8 beta 1, impedendo al programma di restringere adeguatamente l’accesso ai frame contenuti nelle pagine visitate; consultare una pagina Web con del codice HTML opportunamente creato (ma anche ricevere una email in formato HTML), può permettere l’accesso da parte di utenti malintenzionati a elementi di una pagina Web che esiste in un dominio differente. Ad esempio, un cybercriminale può catturare i tasti premuti dall’utente mentre sta interagendo con una pagina di un dominio differente.

Al momento non esistono soluzioni definitive a tale debolezza del browser; US-CERT consiglia comunque, in attesa di patch risolutive in arrivo da Redmond, di disabilitare la voce “Active Scripting” all’interno della opzioni di Internet Explorer. Il prossimo aggiornamento per i sistemi Microsoft è previsto tra una settimana esatta, in occasione del secondo martedì del mese.