Google scopre una falla nei browser Edge ed Internet Explorer.


Da qualche tempo il team di ricerca a capo del Project Zero di Google è molto attivo nell'individuare e rivelare falle di sicurezza nei prodotti Microsoft: ad esempio, lo scorso Novembre aveva svelato una pericolosa falla di sicurezza di Windows 10 appena 10 giorni dopo averla illustrata all'azienda. Mentre l'ultimo esempio è stato quello di qualche giorni fa quando il team di Google ha svelato una vulnerabilità di Windows; anche se per comunicarla il team aveva aspettato il consueto periodo di 90 giorni. Tuttavia, a dimostrazione dell'attività del Project Zero, in questi giorni Google ha rivelato un altro punto debole presente nei prodotti software di casa Microsoft: questa volta la debolezza riguarda i browser Edge ed Internet Explorer, il che significa che il problema non riguarda solamente Windows 10, ma anche tutte le altre declinazioni del sistema operativo dell'azienda. In pratica, secondo quanto hanno fatto le varie indiscrezioni, una falla di sicurezza in Edge ed Internet Explorer era stata comunicata a Microsoft lo scorso 25 Novembre, in modo da offrire all'azienda la suddetta classica finestra di 90 giorni per correggere il problema prima che la vulnerabilità fosse rivelata. Tuttavia sembra proprio che Microsoft non abbia provveduto a chiudere questa falla nel tempo utile concesso e perciò adesso Google ha deciso di renderla pubblica. Ad ogni modo entrando un po' più nei dettagli: sarebbero sufficienti solo 17 righe di codice HTML per portare entrambi i browser al blocco ed al crash. Tra l'altro questa stessa falla potrebbe permettere ad un malintenzionato di eseguire qualsiasi comando su un potenziale obiettivo: come ha sottolineato il suddetto team di ricerca del Project Zero, l'attacco si concentra principalmente su due variabili, (ossia "RCX" e "RAX"), e ciò potrebbe aiutare l'attaccante a prendere il controllo. Comunque sia probabilmente Microsoft andrà, infine, a correggere tale bug tra qualche giorno con il rilascio del Patch Tuesday di Marzo in quanto, (va ricordato), l'aggiornamento di Febbraio è saltato a causa di alcuni problemi tecnici.

Commenti