Sicurezza: Microsoft Visual Studio 2005, nuova minaccia sul Web
Sicurezza Il problema è estremamente critico e riguarda un controllo ActiveX del framework di sviluppo: in altri termini, uno dei mattoni con cui è possibile costruire applicazioni (e pagine web) è risultato fragile, ed è possibile sfruttarlo per eseguire codice arbitrario sul Pc di chiunque visualizzi con Internet Explorer una pagina Web appositamente creata.
Microsoft getta acqua sul fuoco, come da prassi in questi casi (“È vero che l’exploit è in circolazione, ma l’ambito dei possibili attacchi è molto limitato”). Ma la valutazione del rischio non è certo bassa, tanto per la possibile esecuzione di codice (spyware e altre applicazioni non desiderate, veicolate dal Web), quanto perché il bug non è ancora corretto.
Microsoft ammette quindi l’errore, emettendo un bollettino tecnico al riguardo ma senza spiegare di cosa soffra il controllo ActiveX incriminato (si parla di “errore non documentato”): pur considerando che chi usa Windows Server 2003 ed Explorer 7 ne è immune (ma si tratta di un’esigua minoranza), è probabile che il prossimo martedì - ovvero il patch-day per prodotti Microsoft - il problema venga affrontato e, auspicabilmente, corretto.
Ancora nessun commento.