Secunia mette nuovamente in allarme gli utenti di Internet Explorer: una falla «extremely critical» può permettere di bypassare le normali restrizioni di sicurezza e mettere a repentaglio l’integrità di un sistema vulnerabile. I problemi possono sorgere da più script (Secunia pone l’attenzione sulla gestione dei Preferiti e su codici inerenti alle popup quali “Window.createPopup()”) e, in assenza di apposita patch, vengono suggerite due sole drastiche soluzioni: disattivare gli Active Script o, semplicemente, cambiare browser.
Inoltre, quando in casa Microsoft non bastano le proprie falle ecco che i prodotti di Redmond vengono ad avere anche quelle della concorrenza. Se ne evince così che la stessa falla segnalata nei giorni scorsi per Mozilla Firefox, ora viene segnalata per prodotti quali MSN Messenger e Word. L’origine della segnalazione è la stessa (Secunia), l’entità è la stessa («moderately critical»), diversa la conclusione: mentre Mozilla ha immediatamente rilasciato apposita patch, Microsoft rimane alla finestra preannunciando che, «se necessario», provvederà attraverso il solito bollettino mensile.
Il problema colpisce la mancata restrizione delle facoltà offerte agli URI di tipo “shell:”: sfruttando tale mancanza un eventuale malintenzionato può lanciare programmi indesiderati tramite documenti .doc o tramite messaggi MSN. Soprattutto quest’ultimo canale risulta essere potenzilamente pericoloso e da tempo ormai si segnala l’instant messenger come uno dei canali emergenti nella diffusione di attacchi in quanto è possibile attaccare con una certa facilità un consistente numero di utenti in un’unità di tempo relativamente stretta.
Se alla falla non è attribuita maggiore pericolosità è perchè l’attacco risulta essere di difficile attuazione. Al momento, infatti, fa sapere Microsoft che non si segnalano exploit o problemi di sorta. In attesa di una risoluzione definitiva del problema è sufficiente evitare il click su link non sicuri contenuti in documenti word o in sessioni di MSN.
Parallelamente alla precedente Secunia segnala un’ulteriore falla di pari grado di pericolosità evidenziatasi sui prodotti Microsoft Outlook e Word. In questo caso il pericolo giunge da tutti i documenti redatti con Word (.doc, mail, documenti HTML) ed è originato da tag “object” non chiusi. Soluzione provvisoria: evitare l’uso di Word in veste di mail editor.