Patch cumulativa difettosa

<img src="http://www.cnn.com/TECH/9703/04/internet.explorer.bug/explorer.bug.t1.jpg" align="right">Il 16 maggio scorso abbiamo segnalato nelle <a href="http://www.swzone.it/forum/showthread.php?threadid=5784" target="_blank">news</a> l'uscita della patch cumulativa per Internet Explorer che tappava ben sei falle nel browser :<br> <br> Title: 15 May 2002 Cumulative Patch for Internet Explorer <br> (Q321232) <br> Date: 15 May 2002 <br> Software: Internet Explorer <br> Impact: Six new vulnerabilities, the most serious of which could <br> allow code of attacker's choice to run. <br> Max Risk: Critical <br> Bulletin: MS02-023 <br> <br> Microsoft encourages customers to review the Security Bulletin at: <br> <a href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-023.asp" target="_blank">http://www.microsoft.com/technet/tr...in/MS02-023.asp</a> <br> ---------------------------------------------------------------------- <br> This is a cumulative patch that includes the functionality of all <br> previously released patches for IE 5.01, 5.5 and 6.0.<br> <br> Nessuno degli utenti più smaliziati poteva ritenere che non fossero individuati ulteriori problemi,ma questa volta dobbiamo riportare la notizia che la patch stessa è considerata "difettosa".<br> <br> Secondo alcuni ricercatori infatti l'aggiornamento non mantiene quanto promesso : uno dei problemi di maggiore gravità era la possibilità che la sola apertura di un collegamento ipertestuale all'interno di una pagina web o di una email provocasse l'esecuzione di codice dannoso sul sistema dell'utente.A detta di Thor Larholm (un esperto di sicurezza e di falle nei browser) e dei ricercatori di GreyMagic Software,il problema è causato da un componente di IE che non è toccato dalla patch.Sostengono inoltre,nonostante MS asserisca il contrario,che lo stesso problema sia riscontrabile non solo in IE6 ma anche in IE 5.5 e 5.01.<br> <br> Thor Larholm ha messo a disposizione una <a href="http://jscript.dk/unpatched/MS02-023update.html" target="_blank">pagina test</a> a dimostrazione di quanto è stato rilevato.<br> <br> La questione sarebbe al momento all'esame di Microsoft.<br> <br> Come se già questo non bastasse,i ricercatori sostengono che anche un'altra vulnerabilità,che rendeva accessibili in lettura i files dell'utente,non è stata risolta.<br> <br> In questo caso MS non ha ancora fornito risposte.<br> <br> <a href="http://computerworld.com/securitytopics/security/holes/story/0,10801,71256,00.html?nlid=AM" target="_blank">fonte</a>