www.MegaLab.it

Microsoft ha rilasciato da pochi giorni un primo workaround che permette di risolvere la voragine di sicurezza senza dover disabilitare del tutto le funzionalità avanzate del navigatore.

Non si tratta di una vera e propria patch, ma di una configurazione per il registro di sistema che disabilita l'utilizzo del componente incriminato da parte di Internet Explorer.

Configurazioni principali

• Internet Explorer 6 for Microsoft Windows XP Service Pack 2
• Internet Explorer 6 Service Pack 1 per Microsoft Windows 2000 Service Pack 3/4 oppure Microsoft Windows XP Service Pack 1
• Internet Explorer 6 for Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1

Tutti gli altri

• Internet Explorer 5.01 Service Pack 3 per Microsoft Windows 2000 Service Pack 3
• Internet Explorer 5.01 Service Pack 4 per Microsoft Windows 2000 Service Pack 4
• Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition, and Microsoft Windows XP Professional x64 Edition
• Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium Edition
• Internet Explorer 6 Service Pack 1 on Microsoft Windows 98, on Microsoft Windows 98 SE, or on Microsoft Windows Millennium Edition

Va comunque precisato che tale workaround potrebbe causare qualche problema nell'esecuzione di applet Java, e si tratta comunque solo di un rimedio temporaneo: stando ad alcune voci infatti Microsoft rilascerà un aggiornamento vero e proprio contestualmente ad uno dei prossimi bollettini di sicurezza mensili.

Dopo qualche mese di vulnerabilità considerabili tutto sommato di secondaria importanza, Internet Explorer è di nuovo sotto i riflettori per una falla di sicurezza gigantesca.

La debolezza, scoperta dal gruppo di sicurezza Sec Consult nel fine settimana e subito ripresa anche da Secunia permette infatti l'esecuzione di codice da remoto, sfruttando un baco nell'interprete Java di Microsoft, la celeberrima Java Virtual Machine.

A rischio sono tutti i sistemi Microsoft in cui sia installata una versione di Internet Explorer compresa fra la 5.x e la 6.x. Non c'è Service Pack o aggiornamento che tenga: al momento qualsiasi macchina su cui fosse installato il navigatore è da considerarsi in potenziale pericolo.

Alla data attuale Microsoft non ha ancora rilasciato alcuna patch per questa vulnerabilità: fino a che non sarà disponibile un aggiornamento, Microsoft consiglia agli utilizzatori di IE di impostare il livello di sicurezza per l'area Internet su alto (Opzioni Internet -> Protezione -> Internet -> Livello personalizzato -> Alta): purtroppo però in questa modalità la maggior parte dei siti che fanno uso di effetti Javascript, animazioni flash o cookie diverranno praticamente inutilizzabili. Da parte nostra consigliamo piuttosto di installare Firefox ed utilizzare quello, perlomeno fino a quando Microsoft non rilascerà un tappo per questa nuova voragine: il bug infatti è sfruttabile unicamente in caso la pagina malformata venga visualizzata con Internet Explorer.