falla i.e.: tutte le versioni vulnerabili?

massimiliano martines su uic h.e., 15\12\2008, h. 08.37.

Microsoft ha avvisato i propri utenti che la grave vulnerabilita' di
sicurezza rivelata la scorsa settimana in Internet Explorer 7 potrebbe
interessare anche tutte le altre versioni del proprio browser, inclusa
l'ultima beta di IE8

Ed ora, un po' di pubblicità

Roma - La vulnerabilità di sicurezza emersa la scorsa settimana in Internet
Explorer 7, e già sfruttata in un numero limitato di attacchi, potrebbe
avere una portata più ampia di quanto inizialmente congetturato da
Microsoft. A dirlo è lo stesso big di Redmond, che con due aggiornamenti al
proprio advisory ha aggiunto alle versioni "potenzialmente" vulnerabili del
proprio browser anche le 5.01, 6 e 8 Beta.

Microsoft sottolinea però che gli attacchi segnalati fino ad oggi hanno come
unico target IE7, e che in IE8 l'impatto della vulnerabilità è
significativamente mitigato dalla funzione di sicurezza Protection Mode.
Tale funzionalità è peraltro presente anche in IE7, ma non è altrettanto
efficace di quella implementata nel suo successore.

Decisamente più efficaci, invece, le misure di sicurezza integrate nelle
versioni server di Windows.

Con le ultime revisioni al suo advisory, Microsoft ha anche colto
l'occasione per rivelare maggiori dettagli sul bug e fornire alcuni
workaround, tra i quali uno specifico per Windows Vista.

In generale, BigM raccomanda ai propri utenti di elevare il livello di
sicurezza della zona Internet portandolo su "alto": in questo modo il
browser chiederà sempre l'autorizzazione all'utente prima di eseguire
qualsiasi script o controllo ActiveX. Più nello specifico, Microsoft
consiglia anche di disattivare l'utilizzo del file OLEDDB32.DLL (l'azienda
fornisce diversi metodi per farlo) e di attivare la funzione Data Execution
Prevention (DEP) per IE7 in Windows Vista e Windows Server 2008.

Per maggiori informazioni su questa vulnerabilità si veda anche questo post
apparso sul blog di Secunia.