Code injection per Internet Explorer

Nel blog di sicurezza di McAfee è stat riportata una vulnerabilità per Internet Explorer 6 e 7 funzionante su un sistema Windows XP SP2 regolarmente aggiornato.
Questo problema consente ad un attaccante di iniettare codice malevole nel sistema di un utente attraverso mails o pagine web appositamente preparate.
Manipolando i file dei cursori animati (.ani) è possibile eseguire codice iniettato in un sistema in maniera completamente silenziosa, senza per esempio, causare il crash del browser.

Inizialmente i ricercatori McAfee hanno scoperto il proof of concept su una messagge board, e di là a poco è comparso il primo esempio di codice malevole.
McAfee lo identifica come Exploit-ANIfile.c, TrendMicro come TROJ_ANICMOO.AX.
Stando alla descrizione McAfee una volta che l’exploit è all’interno del sistema, consente il caricamento di altro software malware.
Nonostante apparentemente questo tipo di exploit non sia molto diffuso, sicuramente molti virus writers sfrutteranno la falla per generare nuovi exploits.
Il malware è particolarmente subdolo in quanto non causa nemmeno il crash del browser: in questo modo un utente è completamente ignaro di essere sotto attacco.
McAfee sta ancora esaminando la vulnerabilità.
Poichè una vera soluzione non è ancora stata trovata il consiglio è quello di utilizzare browser alternativi come Opera o Firefox, almeno fino a quando Microsoft non rilascierà una patch.
Poichè McAfee ha identificato come altro metodo d’attacco le emails, per gli utenti di Outlook e Outlook Express vale il classico suggerimento di aprire le email in formato testo e non HTML.
Microsoft non ha ancora confermato il problema e non è chiaro quando McAfee abbia avvisato la casa di Redmond del problema.
Un problema di sicurezza simile era già stato patchato agli inizi del 2005.

ALTRI RIFERIMENTI:
* Unpatched Drive-By Exploit Found On The Web, security advisory in McAfee’s blog
* Exploit-ANIfile.c, McAfee’s exploit description

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *