www.MegaLab.it

Dopo un periodo estivo sufficientemente tranquillo per quanto riguarda le problematiche di sicurezza per Windows, Microsoft saluta l'arrivo dell'autunno con un nuovo bollettino che rivela una falla davvero notevole, classificata giustamente'Critical', il gradino più alto nella scala di pericolosità Microsoft.

Siamo davanti a "una di quelle veramente grosse"...

Il problema

La vulnerabilità è di tipo Buffer Overrun: un bug localizzato nel componente di gestione delle immagini jpeg (Gdiplus.dll) potrebbe permettere ad un utente ostile di sovrascrivere alcune aree di memoria con codice a propria discrezione.

In caso il codice fosse di tipo eseguibile, il cracker potrebbe guadagnare pieno controllo della macchina, ivi compresa cancellazione di file o sottrazione di materiale riservato o, ancora peggio, utilizzare la macchina bersaglio come testa di punte per sferrare nuovi attacchi.

Come può essere sfruttata la falla

Per compromettere un intero sistema potrebbe essere sufficiente aprire una immagine jpeg.

Un utente ostile potrebbe creare infatti un file particolare (indistinguibile da una tradizionale jpeg) che una volta aperto consentirebbe di prendere pieno controllo del sistema da remoto.

Se utilizzate Internet Explorer, è possibile rimanere compromessi anche solo visualizzando una pagina web che contenga una di queste jpeg "speciali": il browser Microsoft utilizza infatti il componente incriminato per mostrare le immagini.

Per lo stesso motivo, anche il mailer Outlook espone a rischi da non sottovalutare.

Chi è a rischio

Il problema interessa moltissimi prodotti, tanto sistemi operativi quanto applicazioni di produttività.

Interessante notare come Windows XP sia vulnerabile solo in caso non sia installato il Service Pack 2: anche se è presto sbilanciarsi in commenti troppo ottimistici, questo è un eccellente segnale nel panorama della sicurezza Windows.

Sono vulnerabili i sistemi che utilizzino i seguenti strumenti:

• Windows XP (senza Service Pack 2)
• Windows Server 2003
• Uno qualsiasi dei componenti di Office versione XP (anche in caso sia installato l'ultimo Service Pack)
• Uno qualsiasi dei componenti di Office versione 2003 (il Service Pack rilasciato qualche mese fa rende immune la suite dal problema)
• Microsoft Visual Studio .NET 2002/2003

Altri prodotti per la gestione delle immagini e alcuni tool per sviluppatori: la lista completa è nel bollettino originale Microsoft.

Windows 98/98SE/ME, Windows 2000 (almeno Service Pack 3), Microsoft Office 2000 ed alcune versioni datate degli applicativi Microsoft non sono affetti dal problema.

Da notare comunque che in caso una delle applicazioni vulnerabili venisse installata su un sistema Windows non-vulnerabile (ad esempio Office XP su Windows XP Service Pack 2) tutto l'ambiente sarebbe a rischio.

Come se non bastasse

Come aggravante al problema, va notato come il componente fallato sia parte di "Microsoft Windows Graphics Device Interface (GDI+) " una delle interfacce più sfruttate dai programmatori in ambiente Windows: una qualsiasi applicazione che portasse con se questo componente potrebbe compromettere l'intero sistema...

Come comportarsi

Una immagine JPEG tradizionale e una malformata con lo scopo di compromettere una postazione non sono distinguibili in alcun modo.

Come dicevamo in apertura, questa falla è una di quelle veramente grosse, a cui prestare la massima attenzione: raccomandiamo come sempre di utilizzare strumenti alternativi a Internet Explorer e Outlook e di aggiornare i componenti a rischio.

D'ora in avanti inoltre, fate la massima attenzione ad aprire qualsiasi file provenga dalla rete, proprio come se si trattasse di un eseguibile e non fate eccessivo affidamento su antivirus ed altri automatismi di protezione: almeno per il momento non è garantito che riescano a rilevare l'aggressione.