Flaw di Microsoft senza patch Lascia IE6 a rischio

Una vulnerabilità in un software Microsoft ancora senza patch pone una minaccia più grave per gli utenti di Internet Explorer 6 rispetto a quella della prossima versione del browser, il fornitore di sicurezza Symantec ha avvertito.

La falla nel software di database Access di Microsoft è venuta alla luce proprio come Microsoft ha rilasciato le patch per il mese l'8 luglio. Il problema è all'interno del controllo ActiveX di Snapshot Viewer, che consente a qualcuno di vedere un report di Access senza avviare il software.

Gli hacker sfruttano attivamente la vulnerabilità creando pagine Web o hacking di pagine Web esistenti per ospitare l'attacco. Gli hacker attirano le persone verso le pagine attraverso lo spam o un messaggio istantaneo.

Internet Explorer 7 chiederà agli utenti di scaricare un particolare controllo ActiveX per la prima volta. Ma Internet Explorer 6 scaricherà automaticamente il controllo poiché è firmato digitalmente da Microsoft, ha detto Symantec nella sua consulenza.

Una volta scaricato il controllo ActiveX, l'errore può consentire al pirata informatico di assumere il controllo di un PC.

Symantec consiglia gli amministratori di impostare tre "kill bit" per il controllo ActiveX, una soluzione alternativa Microsoft per impedire l'esecuzione di un controllo ActiveX in Internet Explorer.

Microsoft non ha ancora detto quando prevede di rilasciare una correzione. Il prossimo patching della compagnia è previsto per il 12 agosto.

Symantec ha detto il mese scorso che gli autori del crimeware hanno incluso un exploit per la vulnerabilità del visualizzatore Snapshot in Neosploit, un toolkit che consente agli hacker di eseguire una manciata di exploit su un PC per vedere se ha una vulnerabilità senza patch.

Tuttavia la settimana scorsa è apparso che i criminali informatici che hanno creato Neosploit avevano smesso di venderlo, forse perché il prezzo - che andava fino a $ 3000 - era troppo alto, e la domanda era in calo.