dimarts, d’octubre 24, 2006

Trobat primer forat de seguretat a l'IE7

La consultora Secunia informa d'una vulnerabilitat heretada probablement de la versió anterior del navegador mentre Microsoft afirma que el problema es troba a l'Outlook Express i no ha estat aprofitat per a la realització d'atacs.

Tan sols unes poques hores després d'alliberar la versió 7 del seu browser web Internet Explorer, Microsoft rebia la gerra d'aigua freda que pot suposar que en aquest lapse de temps es trobi ja un primer forat de seguretat en un programari acabat d'estrenar. Tot i això, la companyia de Redmond assegura que el problema no es troba pròpiament en el navegador web -malgrat que aquest pot ser emprat com a pont per explotar-lo-, si no en el client de correu electrònic Outlook.

Secunia ha emès un butlletí en el qual informa que el problema es troba en la gestió de les adreces (URL's) que comencen en mhtml: i ha disponibilitzat un test per comprovar si podem resultar-ne afectats. Aquest test pot ser accedit des de

Internet Explorer Arbitrary Content Disclosure Vulnerability Test
http://secunia.com/Internet_Explorer_Arbitrary_Content_Disclosure_Vulnerability_Test/

La consultora també afirma que ha pogut detectar el problema en un Windows XP SP2 amb l'IE 7 instal·lat, però no fa cap referència a Windows Vista. Recordem que en aquest darrer sistema operatiu s'hi han introduït novetats de seguretat respecte a l'Internet Explorer i s'ha substituït el programari Outlook pel nou Windows Mail, pel que fora possible que aquesta errada no afectés al Windows Vista.

Com a solució al problema, Secunia recomana desactivar el suport de scripts.

Mentre, la companyia de Bill Gates afirma que està estudiant el problema abans de llançar alguna solució, i minimitza el seu risc afirmant que no s'ha detectat cap exploit que aprofiti aquesta vulnerabilitat. Secunia també ha qualificat la vulnerabilitat com a poc crítica (risc 2 sobre 5), però a la Xarxa s'hi ha generat un gran enrenou en haver-la descobert poques hores després del llançament del programari presumptament afectat.

Al weblog de Technet, Microsoft insisteix en el fet que el problema radica en un component del client de correu electrònic Outlook, i no a l'IE 7 en sí.

Més informació:

Internet Explorer 7 "mhtml:" Redirection Information Disclosure - Advisories - Secunia
http://secunia.com/advisories/22477/

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx