Microsoft delinea alcune caratteristiche del problema di sicurezza rivelato nei giorni scorsi e promtte un update.
In occasione dell’ “Hack In The Box 2011” è stata resa nota una vulnerabilità che affligge tutte le versioni di Internet Explorer e può essere sfruttata con una variante dell’attacco di tipo Clickjacking. Nel caso specifico il potenziale malintenzionato potrebbe sottrarre dal PC sotto attacco specifici cookie, sfruttandone poi le informazioni per successive operazioni malevole.
Come già segnalato ieri, per sfruttare questa vulnerabilità è necessaria una forte interazione dell’utente che in modo consapevole deve effettuare delle operazioni di click e di trascinamento. Dal blog TechNet dedicato alla sicurezza e curato da Feliciano Intini possiamo leggere:
Si segnala, inoltre, che si sta già provvedendo a realizzare un aggiornamento correttivo: dal momento che non si tratta di una vulnerabilità di tipo Remote Code Execution (ma è di tipo Information Disclosure), che non è al momento attivamente sfruttata per attacchi.
Microsoft inoltre, proprio per le ragioni esposte sopra, pur considerando il pericolo potenziale sia da valutare molto ridotto il rischio reale. Segnaliamo anche questo contenuto di Brandon LeBlanc che offre alcune interessanti raccomandazioni, tra cui l’utilizzo della modalità InPrivate Browsing.