www.MegaLab.it

Sulla popolare mailinglist di sicurezza Bugtraq è stato scoperta da qualche giorno una nuova vulnerabilità di Internet Explorer, che potrebbe consentire di crashare il browser semplicemente realizzando una pagina web malformata.

La debolezza, riguardo alla quale Microsoft non si è ancora espressa ufficialmente, parrebbe risiedere nel gestore degli eventi (onMouseOver, onClick eccetera): realizzando una pagina HTML con qualche migliaio di eventi, IE viene temporaneamente paralizzato, per poi crashare del tutto.

Se al momento lo scopritore ha realizzato una pagina di test in grado di effettivamente di crashare Internet Explorer nella nostra configurazione di test (ma non Firefox o Opera, che risultano immuni), non si esclude che la debolezza possa essere sfruttata nei prossimi giorni anche per eseguire codice da remoto: personalmente reputo alquanto improbabile che quello che sembra essere un memory leak come questo possa essere sfruttato per lanciare codice, ma ad ogni modo continueremo a seguire l'evolversi della vicenda con attenzione.

In caso Microsoft dovesse scegliere di correggere la vulnerabilità, la patch verrebbe rilasciata solo l'11 aprile prossimo, in concomitanza con il bollettino di aggiornamenti mensili: fino ad allora, rinnovo il mio invito ad abbandonare Internet Explorer, o quantomeno ad impostare su Alto il livello di sicurezza per l'area Internet raggiungibile da Pannello di Controllo -> Opzioni Internet -> Protezione.

Ad una successiva verifica il workaround proposto è risultato inefficace. Al momento non sono disponibili altri rimedi temporanei per proteggere il programma dal crash.