Lo posto come l'ho trovato, in Google. Emersa una nuova, pericolosissima vulnerabilità nel navigatore Microsoft. Ma ancora niente patch.

Dopo qualche mese di vulnerabilità considerabili tutto sommato di secondaria importanza, Internet Explorer è di nuovo sotto i riflettori per una falla di sicurezza gigantesca.

La debolezza, scoperta dal gruppo di sicurezza Sec Consult nel fine settimana e subito ripresa anche da Secunia permette infatti l'esecuzione di codice da remoto, sfruttando un baco nell'interprete Java di Microsoft, la celeberrima Java Virtual Machine.

A rischio sono tutti i sistemi Microsoft in cui sia installata una versione di Internet Explorer compresa fra la 5.x e la 6.x. Non c'è Service Pack o aggiornamento che tenga: al momento qualsiasi macchina su cui fosse installato il navigatore è da considerarsi in potenziale pericolo.

Alla data attuale Microsoft non ha ancora rilasciato alcuna patch per questa vulnerabilità: fino a che non sarà disponibile un aggiornamento, Microsoft consiglia agli utilizzatori di IE di impostare il livello di sicurezza per l'area Internet su alto (Opzioni Internet -> Protezione -> Internet -> Livello personalizzato -> Alta): purtroppo però in questa modalità la maggior parte dei siti che fanno uso di effetti javascript, animazioni flash o cookie diverranno praticamente inutilizzabili. Da parte nostra consigliamo piuttosto di installare Firefox ed utilizzare quello, perlomeno fino a quando Microsoft non rilascerà un tappo per questa nuova voragine: il bug infatti è sfruttabile unicamente in caso la pagina malformata venga visualizzata con Internet Explorer.

Anch'io, dopo controlli, posso confermare la grave falla esistente in Internet Explorer, per tutte le versioni da 5.x a 6.x. Ma devo informare che è stata parimenti riscontrata una falla anche in Firefox (e qui si sfiora l'assurdo, perché si tratta di una falla rilevata già sette anni fa, a suo tempo eliminata e ora re-introdotta ex-novo dai progettisti delle versioni 1.03 e 1.04 di Firefox). Non esistono patches, allo stato, né per la grave debolezza rilevata in Internet Explorer (il cui dato più allarmante è che si tratta di una "falla" che è ormai ampiamente di dominio pubblico e, dunque, ben nota pure ai diversi "crakers"), né per la debolezza (in verità assai meno rilevante) evidenziatasi in Firefox. Si aggiunga che anche le versioni 8.00 e 8.01 di Netscape Navigator presentano problemi non inferiori a quelli in cui è incorso Internet Explorer. Microsoft sta studiando le soluzioni (sia per risolvere, con una patch, i problemi di Internet Explorer, sia per risolvere, probabilmente con una nuova versione creata in collaborazione con Netscape, i problemi di Netscape Navigator). La soluzione dei problemi di Firefox (comunque meno rilevanti) è stata invece demandata all'ormai prossima uscita della versione 1.05 (ora nella fase BETA). Il consiglio di Microsoft per gli utilizzatori di Internet Explorer è di impostare il livello di "PROTEZIONE" Internet su di un valore ALTO (ma, in questo modo, la maggior parte dei siti diventerà virtualmente inaccessibile, incluso lo stesso sito della Microsoft). A chi fa uso di Internet Exploret in ambiente aziendale è pure raccomandato di disporre una "PROTEZIONE" ALTA anche per navigare in Intranet. Netscape, invece, seguita a spingere i propri utenti ad utilizzare la versione "avariata" del suo Navigator (anche se tale uso danneggia gravemente Internet Explorer se eventualmente presente sullo stesso computer). Questa è la sintesi della situazione attuale. Libero, ciascuno di comportarsi come meglio crede, ma è assai difficile che si vedrà una qualche soluzione fino a che non la "tirerà fuori", come un coniglio dal cappello, la solita (e sempre troppo "bistrattata") Microsoft...

Edited by - monsee on 07/05/2005 03:25:44