Internet Explorer: "Non stampate quella pagina".

Di Redazione ZN.


Stampando una pagina Web si rischia di permettere a un attaccante l'esecuzione di codice arbitrario.

Falla ancora senza patch in Internet Explorer

Un ricercatore israeliano, Aviv Raff , ha scoperto una falla in Microsoft Internet Explorer per la quale non  ancora disponibile una patch. A essere colpiti sono i sistemi Windows Xp e Vista equipaggiati con le versioni 7 e 8 beta del browser; gli utenti di Vista sono un po' pi al sicuro di quelli di Xp grazie allo User Account Control, che fornisce una protezione aggiuntiva.

La vulnerabilit viene sfruttata se  attiva l'opzione Stampa tabella dei collegamenti. Durante la generazione del codice Html necessario per fornire una versione stampabile dalla pagina web, gli Url non vengono validati ma aggiunti cos come sono.

Approfittando poi del fatto che il processo di stampa appartiene alla zona locale delle impostazioni di sicurezza (meno sicura della zona Internet), uno script malevolo linkato in una pagina pu far eseguire al computer codice arbitrario.

Microsoft  stata subito informata del problema e sta lavorando a una soluzione. In Internet Explorer 7 e 8, per fortuna, l'opzione Stampa tabella dei collegamenti  disattivata per default, dunque non si dovrebbero temere attacchi su larga scala.

Redazione ZN.

