Ancora problemi per Microsoft Windows XP. Redmond informa che gli utenti XP non hanno da premere il tasto F1 quando navigano in Internet, pena la compromissione del proprio sistema operativo.

Ancora problemi per gli utenti Windows XP che utilizzano Internet Explorer 7 e 8. Un nuovo advisory Microsoft informa che esiste un bug tuttoggi unpatched nel VBScript . La scoperta è stata fatta dal ricercatore polacco Maurycy Prodeus che fornisce anche suggerimenti per evitare infezioni, finchè Microsoft non fornirà una patch su Windows XP.

Leggiamo su isec security Research:

“It is possible to invoke winhlp32.exe from Internet Explorer 8,7,6 using VBScript. Passing malicious .HLP file to winhlp32 could allowre mote attacker to run arbitrary command. Additionally, there is a stack overflow vulnerability in winhlp32.exe. “

Ciò che abbiamo inserito è la descrizione della vulnerabilità ma non abbiamo ancora fornito spiegazioni. Ecco cosa dice l’advisory Microsoft:

“The vulnerability exists in the way that VBScript interacts with Windows Help files when using Internet Explorer,”  “If a malicious Web site displayed a specially crafted dialog box and a user pressed the F1 key, arbitrary code could be executed in the security context of the currently logged-on user.“

Non è ancora disponibile alcuna PATCH per Windows XP, il consiglio fornito dalla Microsoft (David Ross) e  Maurycy Prodeus sono comunque identici:

“As an interim workaround, users are advised to avoid pressing F1 on dialogs presented from Web pages or other Internet content,”"The prompt can appear repeatedly when dismissed, nagging the user to press the F1 key,” .”Our analysis shows that if users do not press the F1 key on their keyboard, the vulnerability cannot be exploited.”

Insomma, se utilizzate Windows XP e un sito web vi chiede di premere il tasto F1 non premetelo, a meno che vogliate che “usufruiscano” di questa nuova vulnerabilità di Windows XP.

Attenzione ! Abbiamo cambiato dominio !

Prosegui la lettura su Pausa Web !