Microsoft ha avvisato che una vulnerabilità, presente in tutte le versioni di Windows, potrebbe consentire a un aggressore di usare un sito Web infetto o un messaggio email HTML per sorprendere le vittime e prendere il controllo del loro pc
La falla nella componente di script del sistema operativo permette agli aggressori di eseguire un codice tramite il motore di script, come se fosse eseguito localmente sul pc, e dà loro la possibilità di eseguire programmi o, addirittura, di prendere il controllo del sistema. Microsoft ha definito questa falla come critica.
Anche se la falla è presente in tutte le versioni di Windows, da Windows 98 a Windows XP, il potenziale pericolo è controbilanciato da due fattori. In primo luogo ci sono le misure di sicurezza già installate nei client email, progettate per bloccare questo genere di attacchi portati da messaggi HTML. In secondo luogo, per sfruttare questo genere di falla tramite le pagine Web, è necessario che la persona presa di mira visiti realmente il sito infetto.
"Il vettore email è una minaccia solo per le vecchie versioni di Outlook", ha dichiarato Iain Mulholland, direttore per i programmi di sicurezza presso il centro risposta per i problemi di sicurezza di Microsoft. Mulholland ha aggiunto che sarebbe difficile creare un virus da questa falla. "Sarebbe bloccato automaticamente dalle versioni più recenti di Outlook", ha precisato.
Questa vulnerabilità è la seconda falla importante annunciata da Microsoft questa settimana. Lunedì il colosso del software aveva avvertito che una vulnerabilità, di cui in precedenza si ignorava l'esistenza, presente in una componente di Internet Information Services (IIS) Server 5.0, aveva permesso agli hacker di compromettere almeno un sistema informatico di un suo cliente. Un rappresentante dello US Army ha ammesso martedì che il computer violato era appunto un server militare, ma non un server dell'Esercito.
Il difetto di Windows si verifica nel modo in cui il sistema operativo gestisce JScript, la sua versione del linguaggio JavaScript, noto con il nome più formale di ECMAScript Edition 3. Un aggressore può sfruttare questa vulnerabilità o inviando uno script creato all'uopo alla vittima potenziale via email, o inserendo questo script in un sito Web e convincendo l'utente, in qualche modo, a caricare la pagina con Internet Explorer.
Tuttavia, i client email e i browser Internet che non permettono di eseguire gli script bloccano l'attacco, ha spiegato Mulholland. Inoltre, Outlook Express 6.0 e Outlook 2002 non sono vulnerabili nei confronti di un attacco lanciato tramite email HTML, se tali client si eseguono nella configurazione di default. Neppure le versioni precedenti di Outlook sono vulnerabili, a patto però che abbiano installato l'aggiornamento Outlook Email Security Update.
Le patch per i vari sistemi operativi si possono trovare sul sito Web di Microsoft e sono disponibili tramite Windows Update a questo indirizzo: http://www.windows.com/
fonte: microsoft
La falla nella componente di script del sistema operativo permette agli aggressori di eseguire un codice tramite il motore di script, come se fosse eseguito localmente sul pc, e dà loro la possibilità di eseguire programmi o, addirittura, di prendere il controllo del sistema. Microsoft ha definito questa falla come critica.
Anche se la falla è presente in tutte le versioni di Windows, da Windows 98 a Windows XP, il potenziale pericolo è controbilanciato da due fattori. In primo luogo ci sono le misure di sicurezza già installate nei client email, progettate per bloccare questo genere di attacchi portati da messaggi HTML. In secondo luogo, per sfruttare questo genere di falla tramite le pagine Web, è necessario che la persona presa di mira visiti realmente il sito infetto.
"Il vettore email è una minaccia solo per le vecchie versioni di Outlook", ha dichiarato Iain Mulholland, direttore per i programmi di sicurezza presso il centro risposta per i problemi di sicurezza di Microsoft. Mulholland ha aggiunto che sarebbe difficile creare un virus da questa falla. "Sarebbe bloccato automaticamente dalle versioni più recenti di Outlook", ha precisato.
Questa vulnerabilità è la seconda falla importante annunciata da Microsoft questa settimana. Lunedì il colosso del software aveva avvertito che una vulnerabilità, di cui in precedenza si ignorava l'esistenza, presente in una componente di Internet Information Services (IIS) Server 5.0, aveva permesso agli hacker di compromettere almeno un sistema informatico di un suo cliente. Un rappresentante dello US Army ha ammesso martedì che il computer violato era appunto un server militare, ma non un server dell'Esercito.
Il difetto di Windows si verifica nel modo in cui il sistema operativo gestisce JScript, la sua versione del linguaggio JavaScript, noto con il nome più formale di ECMAScript Edition 3. Un aggressore può sfruttare questa vulnerabilità o inviando uno script creato all'uopo alla vittima potenziale via email, o inserendo questo script in un sito Web e convincendo l'utente, in qualche modo, a caricare la pagina con Internet Explorer.
Tuttavia, i client email e i browser Internet che non permettono di eseguire gli script bloccano l'attacco, ha spiegato Mulholland. Inoltre, Outlook Express 6.0 e Outlook 2002 non sono vulnerabili nei confronti di un attacco lanciato tramite email HTML, se tali client si eseguono nella configurazione di default. Neppure le versioni precedenti di Outlook sono vulnerabili, a patto però che abbiano installato l'aggiornamento Outlook Email Security Update.
Le patch per i vari sistemi operativi si possono trovare sul sito Web di Microsoft e sono disponibili tramite Windows Update a questo indirizzo: http://www.windows.com/
fonte: microsoft
