Come previsto, Microsoft si è trovata costretta ad anticipare i tempi del normale rilascio di patch d’aggiornamento per i propri prodotti a causa dell’alta pericolosità di alcune falle riscontrate all’interno di Internet Explorer. Tre i bug risolti in tutto, e per gli utenti si consiglia un’immediata installazione degli appositi pacchetti relativi alle versioni 5.01, 5.5 e 6 del browser Microsoft.
Le tre falle chiuse dal pacchetto rilasciato avevano creato grandi allarmismi attorno al browser in quanto andavano a confermare i crescenti e sempre più leciti dubbi circa l’opportunità di trasmigrare ad altri browser quali Opera o Mozilla. La patch va a risolvere i seguenti problemi:
- La prima falla permette ad un malintenzionato di, tramite un sito web appositamente creato, prendere il pieno controllo della macchina vittima con tutte le conseguenze del caso; fino ad ora l’unica soluzione possibile era elevare al massimo la soglia di sicurezza del browser eliminando specificatamente l’uso delle ActiveX; risolvendo tale problema viene definitivamente posto fine al pericolo Download.Ject
- Una immagine BMP malformata può portare al buffer overrun il browser, entrando nel pieno controllo della macchina attaccata; l’immagine può essere inviata via mail oppure si può persuadere l’utente vittima ad accedere ad un apposito sito web contenente l’immagine;
- In un scenario simile al precedente, l’attacco può essere portato avanti anche tramite una immagine GIF, con simili conseguenze ed eguale pericolosità;
Una versione aggiornata della patch (2.0) è stata pubblicata a 24 ore dal rilascio ufficiale dell’aggiornamento. Tale versione è stata appositamente creata per gli utenti di Windows XP dotati di Windows Update versione 5. Il prossimo bollettino è ora atteso per metà mese, in conformità con quanto previsto dalla Trustworthy Computing.