Internet Explorer è ancora a rischio. Grave
![[img]](/mediamytech/006010004505.jpg)
Internet: tutte le notizieVirus e bug: tutte le notizie
Sicuri? Da metà agosto, la danese Secunia aveva segnalato un bug legato al drag and drop di Explorer: Microsoft vi ha rimediato a ottobre con una tardiva patch fuori programma (MS04-038), superata da quella - altrettanto tardiva e fuori programma (MS04-040) di dicembre. Nel frattempo, il bug legato al drag and drop di Internet Explorer era domo ma non debellato, e anzi godeva di nuova vita legandosi a due vulnerabilità legate a oggetti Html dell’Help di Windows.
Il risultato? Un exploit che circola su Internet da fine dicembre e che è in grado di compromettere sistemi (anche Xp Sp2) perfettamente aggiornati.
Alle pepate dichiarazioni del Cto di Secunia, Thomas Kristensen, Microsoft ha risposto sottolineando come “il rilascio di patch efficaci derivi da un bilanciamento efficace tra tempo e qualità del test”. Ma non si tratta di una dichiarazione convincente: se è un problema di capacità di calcolo, è difficile immaginare qualcuno con più mezzi di Microsoft; se si tratta di qualità di test, bastano le due patch sopra citate a dimostrare che si tratta di una qualità evidentemente bassa.
Secunia propone un test per verificare se il proprio browser sia vulnerabile ai bug di cui sopra, e suggerisce - come già Microsoft faceva per il primo exploit di un certo rilievo per Explorer, Ject - di disabilitare i controlli ActiveX e impostare le zone di sicurezza su livelli restrittivi, compromettendo così funzionalità del browser in nome della sicurezza. Ma l’impressione, ora più che mai, è che il re Explorer sia irrimediabilmente nudo.
Ancora nessun commento.