www.MegaLab.it

Sono mesi più critici che mai per IE. Negli ultimi giorni è stata scoperta infatti l'ennesima falla che mette in pericolo tutti gli utilizzatori del browser Microsoft.

Un messaggio apparso sulla nota mailinglist di sicurezza Full Disclosure rivela infatti la presenza di un baco nella gestione dei tag OBJECT: realizzando una pagina studiata ad hoc che comprenda alcuni OBJECT annidati infatti, un cracker potrebbe eseguire codice a propria discrezione sulla macchina di un navigatore non debitamente protetto.

Un portavoce di Microsoft ha voluto minimizzare, dichiarato che il gruppo sta analizzando la vulnerabilità, ma sembra più probabile possa portare ad un blocco del programma più che all'esecuzione di codice da remoto.

Va precisato che, anche se lo scopritore della falla Michal Zalewski ha divulgato pubblicamente i dettagli della vulnerabilità senza prima avvertire Microsoft (un atto di "disobbedienza civile" per mostrare il proprio disappunto per le modalità con cui l'azienda tratta gli update di sicurezza e i ricercatori indipendenti) non è ancora stato rilasciato alcun exploit in grado di sfruttare la debolezza.

Al momento non è disponibile alcun workaround per arginare il problema: con tutta probabilità bisognerà attendere il consueto ciclo di aggiornamenti di maggio per poter applicare la patch ufficiale.

Problemi anche per Mozilla

La settimana scorsa comunque anche gli utenti dei prodotti di Mozilla Corporation (che, ricordiamo, ha preso il posto di Mozilla Foundation) sono stati costretti ad un aggiornamento forzato: l'azienda ha infatti rilasciato versioni aggiornate di Firefox (1.5.0.2 e 1.0.8), Thunderbird (1.5.0.2 e 1.0.8), Mozilla Suite (1.7.13) e SeaMonkey (1.0.1) che risolvono un ventaglio di problemi di sicurezza davvero considerevole.

Ma non tutti gli spifferi sono stati debitamente chiusi: Secunia riporta già una nuova falla non grave in Firefox 1.5.0.2, che costringerà il gruppo ha rilasciare una versione corretta (1.5.0.3) forse già la prossima settimana.