Microsoft ha rilasciato ieri un nuovo aggiornamento per Internet Explorer. L'aggiornamento è segnato come critico dagli esperti di sicurezza di Microsoft e va a correggere alcuni problemi emersi nell'ultimo periodo, non ultimo tra i quali il problema della visualizzazione di URL false in seguito ad un uso del simbolo '@' nell'URL di un collegamento.
Il primo problema corretto da questa nuova patch è un errore del sistema di sicurezza corss-domain per Explorer, il sistema che garantisce la non trasferibilità delle informazioni dell'utente da un sito ad un altro attraverso Internet Explorer. In pratica attraverso una pagina HTML e JavaScript formattata in modo da sfruttare la vulnerabilità, era possibile accedere a file interni del computer dell'utente, compresi i cookie e le informazioni depositate da altri siti web, con la possibilità di accedere ad informazioni riservate, comprese password e dati sensibili. Tutto ciò era dovuto ad un imperfetto controllo da parte di Explorer degli eventi JavaScript:protocol, utilizzati in molte pagine Web e causa da molto tempo di problemi di sicurezza. Secondo il CERT sono molte le segnalazioni di abusi perpretate utilizzando questo metodo, reso pubblico la prima volta nel novembre 2003.
La seconda vulnerabilità riguarda sempre codice nocivo che può essere incluso all'interno di pagine Web. Sfruttando una leggerezza dei controlli DHTML del browser, un aggressore potrebbe scrivere sul computer dell'utente file nocivi. Tutto ciò potrebbe avvenire sia costringendo l'utente a visualizzare una specifica pagina Web, sia inviando una e-mail formattata in HMTL da visualizzare all'interno del programma di posta elettronica Outlook non aggiornato. Il bug non causerà l'avvio del file scaricato che dovrebbe essere avviato dall'utente o, se inserito in posizioni sensibili, dal sistema ad un successivo riavvio.
La terza vulnerabilità riguarda l'utilizzo da parte di explorer del carattere '@' per l'invio al server di nome utente e password. Prima di questa patch, per entrare direttamente in un sito web che prevedeva autenticazione, era possibile utilizzare con Internet Explorer la sintassi http(s)://nome:password@www.sito.it/zona_riservata/. L'utilizzo della chiocciola poteva dar luogo ad errori di visualizzazione dell'URL reale, lasciando aperto il campo ad abusi e tentativi di manomissione delle comunicazioni. Con questa pathc Microsoft ha eliminato, sia dalle connessioni HTTP sia da quelle HTTPs (sicure) l'utilizzo della chiocciola che viene ora trattata come un carattere normale e il suo uso all'interno di URL porta ad un errore di collegamento.
L'utilizzo in accoppiata di queste tre diverse tipologie avrebbe potuto portare a serie compromissioni dei computer degli utenti. Per l'aggiornamento si rimanda al sito di Windows Update che procederà ad un aggiornamento automatico del sistema. Patch singole scaricabili suddivise per versione di sistema operativo e browser sono disponibili all'interno del Microsoft Security Bulletin MS04-004 (Inglese).