www.MegaLab.it

Il Security Response Center di Microsoft ha confermato nei giorni scorsi una debolezza piuttosto seria in un componente presente in Internet Explorer 6 (senza escludere la possibilità che anche Internet Explorer 7 sia afflitto dal medesimo problema).

Un difetto di progettazione nel controllo denominato ADODB.Connection consente infatti ad un server remoto di lanciare in rapida sequenza una serie di query potenzialmente malformate: a causa della capacità di questa tecnologia di funzionare in modo asincrono, il componente potrebbe non essere in grado di processare le istruzioni inviate abbastanza in fretta. In questo caso potrebbe verificarsi un accesso non valido alla memoria, che il cracker sfrutterebbe per ottenere effetti variabili fra un fastidioso (ma innocuo) crash del navigatore fino ad arrivare all'esecuzione di codice da remoto.

Al momento non è disponibile un exploit in grado di lanciare codice, ma solamente un proof-of-concept che dovrebbe crashare il navigatore. Il semplicissimo codice sorgente di questo giochino è disponibile qui ma, almeno sulle mie configurazioni di test, non sortisce alcun effetto.

Ad ogni modo, si tratta di una vulnerabilità da non sottovalutare: per sfruttare la debolezza infatti un cracker non dovrebbe far altro che rendere disponibile una pagina web, indurre la vittima a visitarla con una versione non debitamente protetta del browser ed il gioco è fatto: niente da cliccare, nessun allegato infetto, nessun programma da eseguire... ma ci si potrebbe trovare comunque il sistema compromesso da un virus o da uno spyware.

Al momento attuale non esiste alcuna patch, ma non è da escludere che venga resa disponibile già per il ciclo di aggiornamenti previsto per la seconda settimana di novembre.

Fino ad allora, raccomando a chi utilizzasse il PC a casa di sfruttare un navigatore alternativo, come Firefox 2.0 oppure Opera. Per gli amministratori di sistema o per chiunque fosse costretto da politiche aziendali ad utilizzare IE, è possibile settare il killbit per il CLSID {00000514-0000-0010-8000-00AA006D2EA4} per disabilitare il componente incriminato.