Microsoft: nuova falla nell'esecuzione di MHTML
Ci risiamo. Microsoft ha avvertito i suoi utenti di una pericolosa falla nel modo in cui Windows gestisce alcune operazioni MHTML, che potrebbe consentire a un utente malintenzionato di eseguire codice sulla macchina vulnerabile. Il bug interessa tutte le versioni attuali di Windows, da XP fino a Windows 7 e Windows Server 2008.
Microsoft ha rilasciato un advisory sulla vulnerabilità MHTML, che è stato discusso tra i ricercatori per la sicurezza nei giorni scorsi. Microsoft ha anche rilasciato uno strumento FixIt, per mitigare i possibili attacchi contro questa vulnerabilità in Windows.
"La vulnerabilità potrebbe consentire a un utente malintenzionato di far eseguire script dannosi alle vittime quando visitano un sito Web, con conseguente divulgazione di informazioni. L'impatto è simile a quello delle vulnerabilità XSS. Microsoft è a conoscenza delle informazioni pubblicate e del codice che tenta di sfruttare questa vulnerabilità. Al momento, Microsoft non ha visto alcuna indicazione di uno sfruttamento attivo della vulnerabilità", ha dichiarato la società.
La soluzione FixIt rilasciata da Microsoft abilita il Network Protocol Lockdown per tutte le aree di protezione in Internet Explorer. I funzionari di Microsoft dicono che gli effetti collaterali del FixIt sono trascurabili.
"Nei nostri test, l'unico effetto collaterale che abbiamo incontrato è che vengono disabilitati l'esecuzione di script e ActiveX all'interno di documenti MHT. Ci aspettiamo che nella maggior parte degli ambienti questo avrà un impatto limitato. Sebbene MHTML sia un importante componente di Windows, è raramente utilizzato tramite link ipertestuali mhtml. Nella maggior parte dei casi, MHTML è utilizzato dietro le quinte, e questi scenari non vengono intaccati dal blocco del protocollo di rete. Infatti, se non vi sono script nel file MHT, questo verrà visualizzato normalmente senza alcun problema. Inoltre, per i file MHT certamente sicuri, per i quali si desidera che gli script vengano eseguiti in IE, gli utenti possono fare clic sulla barra delle informazioni e selezionare 'Consenti tutti i protocolli'".
Certo, some al solito si tratta di una "pezza" che non risolve il problema in modo definitivo.
- [29/08/12] Microsoft: Windows 8 ci spia tramite lo SmartScreen
- [20/07/11] Microsoft trova bug in Picasa e Facebook.
- [10/06/11] Super Patch Tuesday per Microsoft e Adobe
- [09/02/11] 12 patch da Microsoft per febbraio
- [02/02/11] Baco Microsoft permette esecuzione di codice pericoloso in pagine MHMTL