Internet Explorer, “sforna” una nuova e fresca patch!

Internet Explorer 7Nella serata di ieri Microsoft ha pubblicato un advisory di sicurezza in cui descrive una vulnerabilità che interessa tutte le versioni ancora in circolazione di Internet Explorer.

Microsoft spiega che la vulnerabilità può essere sfruttata da malintenzionati per ottenere l’accesso ai file archiviati su
di un PC e, di conseguenza, a informazioni potenzialmente sensibili. Il problema, come spiegato da Vupen Security, è causato dal fatto che “il browser non impedisce ai contenuti locali di essere renderizzati come HTML attraverso il
protocollo file://
“.

Un aggressore potrebbe essere in grado, inducendo un utente a visitare una pagina web maligna, di “leggere il contenuto del file index.dat e di conseguenza di vedere i cookie presenti sul sistema, ed eventualmente altri contenuti presenti nella cache del browser“.

Perché un aggressore possa leggere un file della vittima, però, deve conoscerne in anticipo nome e percorso. Feliciano Intini, chief security advisor di Microsoft Italia, fa poi notare sul proprio blog che il percorso a quelle cartelle che, dal punto di vista della privacy, sono considerate più sensibili, comporta la conoscenza del nome utente

A mitigare ulteriormente la pericolosità e la portata del problema interviene poi il fatto che, secondo BigM, le versioni
di IE che girano nella Modalità Protetta non sono esposte a questa vulnerabilità. Dal momento che la Modalità Protetta è una caratteristica predefinita nelle versioni di IE che girano sotto Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, Microsoft sostiene che gli utenti maggiormente a rischio sono quelli che usano Windows XP o che hanno disattivato manualmente la Modalità Protetta.

Nel frattempo, gli utenti di Windows XP possono proteggersi da eventuali attacchi futuri seguendo i suggerimenti forniti daMicrosoft nella sezione Suggested Actions oppure applicando il Fix It automatizzato.

Riccardo Basile