Nuova falla di sicurezza in Internet Explorer

Non c’è tregua per Internet Explorer. Dopo il rilascio, nei giorni scorsi, di un aggiornamento cumulativo per il browser teso a risolvere una decina di vulnerabilità di sicurezza, Microsoft si trova ora a che fare con la pubblicazione in Rete delle informazioni relative ad una nuova lacuna presente all’interno del suo prodotto. Il problema si presenta nel momento in cui Internet Explorer dovesse trovarsi a trattare pagine web contenenti una serie di tag “object” nidificate: un aggressore remoto, invitando la vittima a visitare un sito progettato per far danni, può essere in grado di sfruttare la vulnerabilità per eseguire codice potenzialmente nocivo.
Un portavoce Microsoft ha dichiarato come le investigazioni iniziali abbiano confermato l’esistenza del problema ma come la lacuna abbia portato esclusivamente alla chiusura inattesa del browser.
Lo stesso Michal Zalewski, ricercatore che ha scoperto la vulnerabilità pubblicandone dettagli tecnici sul web senza però notificarli prima direttamente a Microsoft, sostiene come il problema sia complesso, difficile da “debuggare” e che, sebbene non pienamente affidabile, possa costituire un vettore d’attacco per l’esecuzione di codice da remoto.
Da parte sua, Secunia (ved. questa scheda) ha bollato immediatamente la vulnerabilità come “altamente critica” mentre 7,5 su scala 10 è la valutazione data da Symantec circa la gravità della nuova minaccia.