A solo un giorno dal rilascio della versione finale (build 7.0.5730.11) di Internet Explorer 7 per Windows XP e Windows Server 2003, Secunia, nota azienda di security monitoring, ha rilasciato un advisory su una vulnerabilità nel nuovo browser che può essere sfruttata da malintenzionati per sottrarre informazioni sensibili da un computer vulnerabile. L'azienda di sicurezza segnala la presenza della vulnerabilitÃ, "MHTML redirection exploit", (comunque classificata come "less critical") su un sistema "fully patched" Windows XP SP2 con Internet Explorer 7.0, e ha anche reso disponibile una pagina di test per verificare il bug di sicurezza.
La notizia ha fatto in breve tempo il giro della rete, sospinta dal fatto che Microsoft aveva appena rilasciato la nuova versione del browser. Il colosso ha però risposto ufficialmente al report di Secunia sul blog ufficiale del team MSRC (Microsoft Security Response Center), smentendo di fatto il report dell'azienda: "Abbiamo ricevuto alcune domande riguardo alle segnalazioni pubbliche che riportavano una nuova vulnerabilità in Internet Explorer 7. Questo era un problema su cui stavamo già indagando e quindi abbiamo alcune informazioni tecniche da condividere con voi. Questi report non sono tecnicamente coretti: il problema evidenziato nei report non risiede in Internet Explorer 7 (o nessuna altra versione precedente del browser). Al contrario, risiede in una componente differente di Windows, presente in Outlook Express. Il problema descritto in questi report utilizza Internet Explorer come vettore per attaccare la vulnerabilitÃ, che invece affligge OE. Pur sapendo che il problema è stato ora divulgato pubblicamente, non siamo a conoscenza di alcun attacco contro i clienti. Stiamo attualmente indagando sul problema e monitorando la situazione, prenderemo le necessarie provvedimenti per proteggete i nostri clienti a conclusione del processo di indagine. Spero che questo possa aver fatto chiarezza".

BetaNews, secondo cui vulnerabilità è una vecchia falla di IE6 (Novembre 2003) non corretta in IE7, ha pubblicato alcune ore fa la risposta ufficiale di Secunia del problema. Thomas Kristensen, Secunia CTO, commenta le affermazioni del team MSRC: "Questo potrebbe essere vero, dal punto di vista di una organizzazione come Microsoft. Tuttavia la vulnerabilità è pienamente sfruttabile via IE7, che risulta quindi il vettore di attacco primario, se non l'unico vettore d'attacco … Se una vulnerabilità risiede su un componente specifico, questo non assolve IE o qualsiasi altro componente software dalla responsabilità di fornire un chiaro vettore verso la componente vulnerabile". Secunia infatti non ha aggiornato finora il suo advisory per includere le nuove informazioni ricevute da Microsoft. Secondo Secunia, "storicamente" quando Microsoft scopre o viene a conoscenza di vulnerabilità sfruttabili via Internet Explorer, avverte i suoi clienti segnalando i codici exploit che interessano il sistema operativo in generale. Questi problemi di sicurezza non dovrebbero essere ritenuti dagli amministratori di sistema meno importanti degli altri. "Secunia ritiene necessario e ragionevole indicare Internet Explorer come 'vulnerabile' se il browser fornisce un chiaro vettore d'attacco diretto ad una componente buggata, inclusa in maniera predefinita nelle installazione 'pulite' di Microsoft Windows", aggiunge Kristensen.

La nota di Tweakness.net: La notizia di questa vulnerabilità è stata immediatamente presa ad esempio dalla comunity "anti-microsoft", per criticare "in coro", per l'ennesima volta, il lavoro svolto dagli sviluppatori di Redmond. Con Internet Explorer 7, Microsoft ha compiuto sicuramente un passo enorme verso la sicurezza dei suoi clienti. Le funzionalità di protezione integrate in IE7 sono importanti e andrebbero accolte nella maniera più positiva possibile, in particolar modo se si paragona il nuovo prodotto al pluri-tormentato Internet Explorer 6. Questo tuttavia non significa che non saranno scoperte in futuro vulnerabilità in Internet Explorer 7 (questo avviene del resto per tutti i browser sul mercato, Firefox compreso). Alla luce di tutto questo, non si deve, a nostro avviso, sminuire il lavoro di Microsoft, che pur con enorme e forse ingiustificabile ritardo, ha reso disponibile due giorni fa un browser finalmente adeguato ai requisiti di sicurezza dell'ambiente web attuale. Ad ogni modo continueremo a seguire la vicenda da vicino per fornirvi tutti gli ultimi risvolti, appena disponibili.

Fonte