Archivio » 2003 » luglio » giovedì 10 »

Patch cumulativa per Internet Explorer

Scritto da Guido Sintoni

Microsoft ha rilasciato contestualmente al bollettino MS03-015 una patch cumulativa per Internet Explorer, con l’intento di risolvere alcune vulnerabilità del popolare browser Web. Le versioni interessate sono Explorer 5.01 (è richiesto il Service Pack 3 per installare la patch), Explorer 5.5 (è richiesto il Sp2), Explorer 6.0 ed Explorer 6.0 Sp1.

I sistemi operativi interessati sono molteplici: Windows 98 Se, Windows Me, Windows Nt 4.0 Sp6, Windows 2000 Sp2 e Sp3, e Windows Xp Sp1. Le vulnerabilità sono critiche, e tali da consigliare l’immediata applicazione della patch.

Tra le vulnerabilità, segnaliamo un buffer overrun nella libreria Urlmon.dll; il malfunzionamento del controllo di upload dei file (che permette il passaggio di file mediante eventuali script maligni); la possibilità di una Url injection sfruttando la debolezza del motore per il rendering di file di terze parti, e del caricamento di codice eseguibile su un sistema locale mediante form. Infine, una falla nel componente di “Mostra Aiuto” può portare alla lettura di informazioni sull’utente o di un file locale.