www.MegaLab.it

Di nuovo problemi di sicurezza per Internet Explorer. Nel corso della settimana sono emerse infatti due distinte debolezze per il navigatore Microsoft, entrambe con un livello di pericolosità davvero preoccupante.

Si tratta di falle concrete, per cui in Rete stanno già spuntando i primi exploit funzionanti e su cui è necessario intervenire al più presto.

Vulnerability in the Microsoft DirectAnimation

La prima falla interessa un componente di DirectX, chiamato DirectAnimation, che si occupa mediante ActiveX di gestire alcuni tipi di animazioni presenti all'interno delle pagine web. Un difetto di progettazione in questa funzionalità potrebbe consentire ad un cracker di creare una pagina web malformata che, se visitata con Internet Explorer, sarebbe in grado di eseguire codice da remoto sul sistema della vittima, e quindi prenderne il pieno controllo.

Ancora una volta quindi, nessun eseguibile da cliccare: basta visitare una semplice pagina web per compromettere la macchina: è comprensibile quindi che Secunia abbia etichettato la debolezza con il livello massimo di pericolosità.

La debolezza interessa tutte le versioni di Internet Explorer su Windows 2000 e Windows XP, mentre Windows Server 2003 è al sicuro.

Fortunatamente le varie versioni di Outlook/Outlook Express sembrano avere meccanismi di protezione che non permettono di sfruttare il problema via e-mail.

La patch non è ancora disponibile, e con tutta probabilità verrà rilasciata contestualmente al ciclo di aggiornamenti di Ottobre, anche se Microsoft non esclude la possibilità di anticipare il rilascio in caso la debolezza iniziasse ad essere sfruttata diffusamente.

Nel frattempo, il SANS Institute ha reso disponibile un workaround temporaneo che sembra risolvere il problema.

Vulnerability in Vector Markup Language

Vista l'estrema gravità di questo problema, Microsoft ha rilasciato un aggiornamento "fuori programma" che risolve la debolezza. L'hotfix viene già distribuito in queste ore mediante Windows Update, ma per chi preferisse il download manuale o desiderasse maggiori informazioni, è disponibile il bollettino MS06-055. Va comunque precisato che l'aggiornamento non è indispensabile in caso venisse utilizzato un browser diverso da Internet Explorer, come Firefox oppure Opera.

Come se la prima falla non fosse già abbastanza preoccupante, in questi ultimi giorni è arrivata un'altra mazzata di pari gravità.

Il secondo baco è stato scoperto da Sunbelt Software, che nel suo dettagliato advisory mostra come una macchina Windows XP completamente aggiornata possa essere compromessa sfruttando un buffer non verificato nel componente di gestione VML all'interno di Internet Explorer: anche qui il rischio è che un utente ostile possa prendere pieno controllo della macchina mediante una pagina web malformata.

Il problema in questo caso interessa tutte le versioni di Internet Explorer in esecuzione su qualunque sistema operativo Microsoft. Per di più, non è del tutto escluso che la debolezza possa essere sfruttata anche inviando una e-mail debitamente progettata ad un client Outlook/Outlook Express.

In attesa di una patch, Microsoft suggerisce di disabilitare il componente fallato con la seguente riga di comando, comprese le virgolette regsvr32 -u "%ProgramFiles%Common FilesMicrosoft SharedVGXvgx.dll"

Il mio suggerimento è invece quello di provare un browser alternativo, perlomeno fino a quando Microsoft non avrà rilasciato un aggiornamento ufficiale. Firefox 2.0 e Opera Browser 9.02 funzionano molto bene, sono completamente gratuiti, mettono a disposizione numerose funzioni avanzate e, soprattutto, sono immuni da questi problemi.