www.MegaLab.it

Si tratta di un periodo particolarmente burrascoso per gli utenti di Internet Explorer. Nelle ultime settimane infatti stanno emergendo numerosissimi problemi di sicurezza, la cui pericolosità varia fra l'esecuzione di codice da remoto al semplice crash del programma.

Dopo la voragine legata al formato WMF e a pochi giorni dal problema che affliggeva le vecchie versioni del navigatore su Windows 2000, lo stato di allerta è sollevato ora da una nuova vulnerabilità legata al drag-n-drop: la falla, nota fin da agosto dell'anno scorso, è stata riportata in auge in questi giorni da SecuriTeam, che ne ha denunciato la pericolosità: il rischio è infatti di esecuzione di codice da remoto.

Va comunque precisato che per poter effettivamente sfruttare la debolezza, un sito web avrebbe bisogno della collaborazione dell'utente, che dovrebbe manualmente "trascinare un oggetto da una finestra di IE in un'altra", secondo quanto comunicato da Websense.

Il pericolo insomma è concreto, ma difficilmente sfruttabile per portare attacchi su vasta scala: proprio per questo Microsoft ha comunicato che non rilascerà alcun hotfix per questa debolezza, se non contestualmente al Service Pack 3 per Windows XP.

Sebbene la scelta possa essere comprensibile per un problema si pericoloso, ma non di immediata rilevanza, ci si sarebbe aspettati forse una scelta diversa per un'azienda che sta facendo di tutto con l'iniziativa Trustworthy Computing per scrollarsi di dosso il peso di un Windows poco sicuro: ad esempio un fix all'interno di un bollettino di sicurezza mensile. Tutto sommato ne mancano almeno una ventina prima di Service Pack 3...