Tra ieri e l’altro ieri è stata segnalata e successivamente aggiornata una nuova falla Microsoft. In questo caso si tratta di un integer overflow nell’implementazione del Vector Markup Language, sfruttabile attraverso una pagina HTML o un’email apposita.. seguono i dettagli
Tra ieri e l’altro ieri è stata segnalata e successivamente aggiornata una nuova falla Microsoft. In questo caso si tratta di un integer overflow nell’implementazione del Vector Markup Language, sfruttabile attraverso una pagina HTML o un’email apposita.. Il risultato, come ogni buffer overflow che si rispetti è l’esecuzione di codice arbitrario.. o, come minimo far crashare IE, cosa che, a mio avviso, passerebbe inosservata ;)
Anche in questo caso (come il buco office a dicembre) la vulnerabilità è stata segnalata da secunia come estremamente critica .. un bel 5/5.
Le patch sono già disponibili sul sito ufficiale (dato che le prime segnalazioni a microsoft del baco risalgono ad ottobre). Quindi la soluzione è sicuramente quella di applicarle.. ma se per qualche motivo non si potessero installare gli aggiornamenti appositi, la soluzione è quella di navigare con molta attenzione ed impostare Outlook in modo che visualizzi le email in plain text.
La soluzione migliore rimane comunque quella di abbandonare del tutto Internet Explorer e passare a FireFox. Per chi non avesse i privilegi per installare nuove applicazioni sul pc in uso può scaricarsi firefox ed utilizzarlo da drive usb dal sito portableapps . Ora che ho fatto il mio dovere da evangelizzatore del software libero, vi sparo un paio di link riguardanti il bug:
Advisory ufficiale. in particolare leggetevi la parte Vulnerability Details
