Mytech, 16/5/2005.
http://www.mytech.it/news/articolo/idA028001062396.art.
Appena superato (peraltro con buona brillantezza) l'imbarazzo per la disclosure di un bug ad opera di GreyMagic, per Microsoft non c'è ancora pace: tocca stavolta a Internet Explorer scoprirsi vulnerabile, e a eEye Digital Security rivelarne i dettagli.
Non è la prima volta che l'azienda californiana scopre i problemi dei prodotti made in Redmond: sul finire di marzo, eEye aveva infatti rivelato un bug che esponeva Internet Explorer e Outlook alla possibile esecuzione arbitraria di codice.
Se in quella circostanza Microsoft non aveva preso posizione (e i bug sono tuttora non corretti), stavolta pare che le cose vadano diversamente. "Stiamo collaborando per il rilascio di una soluzione" ha dichiarato il cofondatore di eEye, Marc Maiffret.
Della nuova vulnerabilità trapela ancora poco, se non che riguarda l'installazione standard di Explorer e permette l'esecuzione arbitraria di codice "con una minima interazione da parte dell'utente". Lo spettro del buffer overflow si riaffaccia in quel di Redmond, si direbbe.
Secondo eEye, il bug è "ad alto rischio" e interessa tutte le versioni (anche se correttamente aggiornate) di Windows: da Nt a 2000 fino a Xp ( Service Pack 2 compreso). Di più non è lecito sapere, perché eEye adotta la politica della responsible disclosure: dà la notizia, ma non i particolari, per evitare che malintenzionati possano trarne vantaggio.
Anche daa Redmond le notizie filtrano col contagocce. "Stiamo analizzando il problema e prenderemo le adeguate contromisure. Non siamo a conoscenza di nessun attacco reale che sfrutti le vulnerabilità in questione": le dichiarazioni sono di routine e improntate alla prudenza. Pur se giova ricordare come la situazione di Explorer sia potenzialmente meno critica di quella che ha coinvolto Firefox la scorsa settimana (in questo caso non ci sono exploit in circolazione), non si può evitare di sottolineare come anche il browser Web di casa Microsoft sia malato. E che il prossimo ciclo di patch per i prodotti di Redmond è previsto il 14 giugno: a meno che l'azienda non ricorra alla patch fuori programma (un escamotage utilizzato per tre volte a partire dall'ottobre 2003, data di partenza dell'attuale servizio su base mensile), gli utenti di Explorer saranno a rischio per almeno un mese: i bug di Firefox di settimana scorsa, per contro, sono stati corretti in soli cinque giorni.
Guido Sintoni.
Per tornare all'indice, premi alt piu' freccia sinistra.