www.MegaLab.it

A pochissimi giorni dal debutto di Internet Explorer 7, prodotto di cui Microsoft sta sottolineando a più non posso il modello di sicurezza del tutto rinnovato, ecco emergere qualche problemino proprio sotto questo versante.

In particolare, anche IE 7 come il suo predecessore può essere sfruttato come vettore d'attacco per sottrarre dati dal computer della vittima: una falla in una libreria di sistema consentirebbe ad un utente ostile di realizzare un archivio MHTML malformato che, se aperto con il browser Microsoft, potrebbe causare effetti variabili fra l'esecuzione di codice da remoto e la sottrazione di dati potenzialmente riservati.

In seguito alle prime notizie però, il Microsoft Security Response Center ha precisato che, sebbene il navigatore Microsoft possa essere vettore d'accesso verso la libreria difettosa, la falla non è propria di Internet Explorer ma piuttosto di un vecchio componente di Outlook Express. Inoltre, il team non è a conoscenza di alcun attacco attualmente in corso ai danni degli utenti che sfrutti tale debolezza.

Ad ogni modo, Secunia ha predisposto una (innocua) pagina di test che dovrebbe evidenziare il problema.

Se è indubbio che la differenza dal punto di vista tecnico è sicuramente concreta e meritevole di attenzione, dal punto di vista pratico ben poco cambia: anche utilizzando la nuova versione del navigatore Microsoft l'utente è esposto a rischi di sicurezza, facilmente superabili utilizzando un qualsiasi navigatore alternativo. Inoltre, non si può tacere il fatto che la falla risale addirittura al 2003, ed era ben nota e sfruttabile anche in Internet Explorer 6.

Certo, alla data attuale la falla non è sufficientemente pericolosa da negare che il browser Microsoft sia stato realmente migliorato dal punto di vista della sicurezza, ma è sicuramente un pessimo inizio. Indipendentemente dal fatto che si tratti di una falla vera e propria o di un semplice vettore.