Un utente malintenzionato potrebbe superare la protezione di XP con l’SP2, mascherando per “autentico” HTML un codice in realtà dannoso
Da Secunia arriva un’altra segnalazione relativa a due problemi di vulnerabilità
per Internet Explorer.
La falla di sicurezza, definita moderatamente critica dalla
società, riguarda le modalità con cui XP avvisa gli utenti sui
rischi di apertura di file di un certo tipo.
Il problema è che file “confezionati” con un apposito
header HTTP, pur contenendo codice dannoso, potrebbero essere scaricati
e aperti senza nessun avviso da parte di XP.
Un secondo problema riguarda la funzione execCommand() di JavaScript
che potrebbe essere usata da utenti malintenzionati per indurre i navigatori
a scaricare file eseguibili pericolosi mascherati da semplici documenti HTML.
La soluzione è disattivare l’esecuzione di script attivi (in Internet
Explorer andare in Strumenti, Opzioni Internet, Protezione, Livello
personalizzato) e disabilitare l’opzione Nascondi le
estensioni per i tipi di file conosciuti nelle opzioni della cartella.
La vulnerabilità è stata confermata per sistemi aggiornati con
Windows XP SP2 e Internet Explorer 6.0.
