Ennesimo pericolo per Internet Explorer ed ennesimo intervento della comunità degli sviluppatori per tapparlo. Sono almeno cinque i bug di Internet Explorer conosciuti e non corretti dall'inizio del 2006, più di venti considerando quelli in corso nel 2005. Di questi cinque, due sono segnati da Secunia con livello di pericolo critico. Due, in altre parole, possono portare all'esecuzione di codice nocivo sul computer dell'utente semplicemente obbligandolo a visitare un sito Web. Per una di queste due patch circola già in rete un exploit, ossia un codice funzionante che è in grado di installare un trojan su Windows all'atto di visita di un sito Web.
La prima vulnerabilità, scoperta il 13 marzo scorso, riguarda la gestione dei file HTA e può essere eseguita con successo su Explorer 6 installato su sistemi Windows Xp, Windows 2003 Server. Lo scopritore, un olandese di 25 anni, ha informato subito Redmond che ha confermato l'esistenza del pericolo e ha dichiarato che un Proof Of Concept della vulnerabilità sarà pubblicato solamente quando Redmond avrà messo a punto le patch. I file HTA, chiamati anche HTML Applications, sono un formato proprietario di Redmond che possono eseguire script all'interno del browser. Poiché sono considerate sicure, le HTML Applications possono accedere al file system e in pratica eseguire comandi in Windows. La vulnerabilità scoperta dall'hacker olandese permette di eseguire questo tipo di applicazioni senza chiedere il preventivo permesso dell'utente.
La seconda vulnerabilità, ben più pericolosa, è legata alla imperfetta gestione del metodo "createTextRange()" che interviene quando un utente seleziona un check box di un sito Web. La vulnerabilità riguarda Explorer 5.01 su Windows 2000 e Explorer 6 su tutte le versioni del sistema operativo di Microsoft. La vulnerabilità può essere eseguita senza l'intervento dell'utente e, poiché causa una corruzione dell'area di memoria, consente l'installazione di codice nocivo. Sono già stati segnalati oltre duecento siti che utilizzano l'exploit pubblico per installare Trojan, Spyware, Bot o altri tipi di software nocivo.
Microsoft ha fatto sapere attraverso il suo Blog dedicato alla sicurezza che sta già lavorando ad una pronta correzione del bug e che sarà pronta per il regolare update di Aprile, previsto per il giorno 11. Forse un po' troppo tardi.
Come già successo per la vulnerabilità dei file Wmf (Windows Metafile), a supplire alle mancanze di Microsoft hanno pensato sviluppatori indipendenti che hanno messo a punto due distinte patch correttive. Una è stata pubblicata dalla nota e affidabile società di sicurezza eEye Digital Security. Una seconda è stata proposta da Determina, produttrice di software di protezione. A differenza di quanto accadde a gennaio, questa volta a sconsigliare l'uso delle patch alternative a quella futura di Microsoft è anche il Sans Institute. Secondo il Sans non sarebbe necessario installare la patch: disabilitare l'Active Scripting, come scritto in un nostro post del blog, sarebbe sufficiente ad impedire l'installazione di malware e, inoltre, la vulnerabilità non è diffusa a tal punto da giustificare un allarme.
Intanto Microsoft aggiunge un altro tassello alla sicurezza dei propri sistemi. Dal 21 marzo è disponibile il servizio Internet Explorer Feedback, una sorta di archivio cui inviare, dietro registrazione, segnalazione di bug per IE7 Previews e Beta 2 e suggerimenti per future caratteristiche da includere nel browser.
