Blocco dei download di IE nel mirino: è vulnerabile?

Un ricercatore e un’azienda produttrice di software antivirus hanno messo in allerta gli utenti di Internet Explorer informando che esiste un bug (ci si riferisce anche alla versione di Internet Explorer 6 inclusa in Windows XP SP2) che permetterebbe, ad una pagina web “ostile” di “scavalcare” il controllo del download di file operato dal Service Pack 2.
In questo modo, l’avviso che viene visualizzato da Internet Explorer quando un sito web sta tentando il download automatico di un file, non vorrebbe mostrato.
La vulnerabilità è apparsa su SecurityFocus (ved. questa pagina) al quale ha fatto eco Symantec.
Pagine web “maligne”, opportunamente sviluppate per sfruttare il problema, fanno leva sul fatto che Internet Explorer, al momento, non effettua un controllo sull’evento “onclick” che, se utilizzato in combinazione con la funzione “createElement” per la creazione di un IFRAME, può permettere l’inserimento e l’esecuzione di contenuti potenzialmente dannosi.
Microsoft, però, ha da parte sua reagito in modo fermo: la funzione per il blocco dei download funziona regolarmente e questa non è considerabile come una vulnerabilità.
Symantec suggerisce di porre attenzione ai siti web non fidati ed eventualmente di disattivare l’esecuzione degli script e dei componenti attivi.