Microsoft ha avvisato di una vulnerabilità trovata in tutta la gamma dei sistemi operativi sia desktop che server che potrebbe consentire a un utente malintenzionato di eseguire script maligni tramite una pagina web.
La vulnerabilità , è stato segnalata Venerdì scorso colpisce tutti i sistemi operativi targati Redmond, compreso Windows XP, Windows Vista, Windows 7 e Windows Server 2003 e 2008.
Microsoft dice che l’exploit è il risultato di un bug nel gestore MHTML di Windows, che interpreta le richieste in formato MIME in un modo in cui gli aggressori potrebbero essere in grado di approfittare dello strumento.
“La vulnerabilità è dovuta al modo in cui MHTML interpreta le richieste in formato MIME per i blocchi di contenuto in un documento. Questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire script nel contesto di protezione sbagliato”, ha detto Microsoft.
“La vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire script dannosi sul nostro pc quando si visitano vari siti Web, con conseguente divulgazione di informazioni. Tale impatto è simile alle vulenrabilità di tipo server-side cross-site scripting (XSS).”
La vulnerabilità non è ancora stata sfruttata da parte di malintenzionati, nonostante una serie di siti che hanno pubblicato informazioni sul problema.
“Microsoft è a conoscenza delle informazioni pubblicate e codice proof-of-concept che tenta di sfruttare questa vulnerabilità”, avverte la società, spiegando che “in questo momento, Microsoft non ha avuto alcuna indicazione di sfruttamento della vulnerabilità.”
Una patch è in corso di elaborazione da Microsoft, ma nel frattempo la società sta incoraggiando a chi si sente preoccupato per la vulnerabilità di scaricare la patch qui. Il download include anche un programmino che permette agli utenti di verificare se la correzione ha funzionato o meno.
Fonte: neowin.net