Roma - La tecnologia ActiveX alla base di Internet Explorer rischia nuovamente di finire nel mirino dei cracker. Negli scorsi giorni alcuni esperti di sicurezza hanno infatti pubblicato un exploit capace di sfruttare una nuova vulnerabilità nel controllo ActiveX Microsoft DirectAnimation Path.

Microsoft ha tempestivamente pubblicato un advisory in cui spiega che la falla interessa Internet Explorer 5.x e 6 su Windows 2000 e XP. Sebbene il baco sia potenzialmente utilizzabile anche in Windows Server 2003, l'azienda sostiene che questo sistema operativo ha misure di sicurezza predefinite che lo rendono immune dal problema.

Microsoft ha elencato una serie di fattori che mitigano la gravità della falla, e ha annunciato che è impegnata nello sviluppo di una correzione di prossimo rilascio.

Sia FrSIRT che Secunia hanno valutato il problema della massima pericolosità, spiegando che un cracker potrebbe sfruttare la debolezza per mandare in crash il browser o prendere il pieno controllo di un sistema remoto. Gli esperti hanno tuttavia sottolineato come l'exploit richieda che l'utente visiti una pagina web maligna, e non possa dunque essere utilizzato per la creazione di worm.

Il codice originale dell'exploit è stato pubblicato alcuni giorni fa sul sito Xsec.org. Sia FrSIRT che Secunia sostengono di aver verificato il funzionamento dell'exploit con un sistema Windows XP SP2 dotato di tutte le ultime patch.

Microsoft e gli esperti di sicurezza indipendenti suggeriscono agli utenti di disattivare l'esecuzione degli ActiveX o di restringerne l'uso ai soli siti affidabili.