www.MegaLab.it

Quando Secunia, il punto di riferimento per chi si occupa di sicurezza informatica, emette un bollettino classificato come Extremely Critical è bene drizzare le orecchie.

In questo caso si tratta di una debolezza che affligge Microsoft Visual Studio 2005, l'ambiente di sviluppo software principe per chi programma in Visual Basic.NET, C #, ASP.NET o un qualsiasi altro linguaggio Visual per Windows.

La falla può essere sfruttata attraverso una pagina web che includa una chiamata malformata al controllo ActiveX WMI Object Broker: stano ma vero, l'attacco può avere successo solo se la pagina web del cracker è visualizzata con Internet Explorer 6 (la versione 7 sembra essere immune dal problema, a meno di autorizzare manualmente l'esecuzione del controllo).

In caso l'attacco avesse successo, il cracker poterebbe eseguire codice a propria discrezione sulla macchina della vittima e, di fatto, prenderne il pieno controllo.

In attesa di un aggiornamento che si prevede dovrebbe vedere la luce contestualmente al ciclo di update mensile di novembre, Microsoft suggerisce di impostare il killbit per il CLSID {7F5B7F63-F06F-4331-8A26-339E03C0AE3D}.

Io invece suggerisco di passare a Firefox oppure aggiornare a Internet Explorer 7, due prodotti ben più robusti della versione 6 del popolare browser web.

Questo ennesimo incidente dimostra che Internet Explorer 6 è estremamente pericoloso, e quando non espone l'utente a rischi diretti, può essere sfruttato come vettore di accesso al sistema: per il momento Internet Explorer 7, critiche inconsistenti e qualche problemino isolato a parte, si sta comportando decisamente meglio, sperando che duri...