www.MegaLab.it

Nella tarda serata di mercoledì (ora italiana), Microsoft ha pubblicato un advisory dal titolo "Vulnerability in Internet Explorer Could Allow Information Disclosure" mediante il quale il colosso mette in guardia i propri clienti circa una nuovissima debolezza rintracciata in talune configurazione di Internet Explorer.

Il difetto è lo stesso anticipato da Luis Alvarez Medina qualche tempo addietro, di cui l'esperto a dato dimostrazione, secondo quanto promesso, nel corso della manifestazione Black Hat conclusasi ieri.

Il problema non pare comunque eccessivamente grave. Un bug a causa del quale il navigatore non impedisce il rendering dei file locali come HTML tramite il protocollo file:// potrebbe essere sfruttato da un cracker per sottrarre file dal disco fisso della vittima, a patto però che l'aggressore conosca preventivamente il nome ed il percorso esatto nel quale il documento è stato salvato.

Microsoft esclude la possibilità che il difetto possa essere sfruttato per eseguire codice sui sistemi delle vittime o guadagnarne accesso completo in altro modo.

D'altro canto, l'advisory segnala che la debolezza potrebbe essere sfruttata (con un po' di fortuna o di studio delle abitudini della vittima) anche per accedere a cookie ed altre impostazioni del browser. In tal caso, il cracker potrebbe riuscire facilmente a guadagnarsi l'accesso ad aree riservate di quei siti web che basino il meccanismo di autenticazione su tale tecnologia.

Il furto del file potrebbe scattare in maniera molto semplice: il cracker non dovrebbe fare altro che predisporre una pagina web studiata ad hoc ed invitare la propria vittima a visitarla. Il pretesto più classico è la promessa di ottenere contenuti "per adulti" gratuitamente, ma, come abbiamo segnalato qualche tempo addietro, anche notizie di grande attualità tendono a funzionare piuttosto bene come esca.

Quali sistemi sono vulnerabili

Sono interessati dal difetto principalmente i sistemi governati da Windows 2000, Windows XP e Windows Server 2003, indipendentemente dalla versione di Internet Explorer in uso.

Gli utenti di Windows Vista e Windows 7 sono invece al sicuro con la configurazione di default proposta da IE 7 (fornito di di serie con Windows Vista) oppure IE 8 (in dotazione a Windows 7, ma installabile come update anche sul precedessore).

Affinché i nuovi sistemi operativi risultino tutelati però, è necessario che Internet Explorer sia in esecuzione in "modalità protetta": tale indicazione è riportata ai piedi della finestra del browser Microsoft. Per maggiori informazioni in merito si veda "Internet Explorer in "Modalità protetta": la navigazione sul web si tutela così".

È comunque importante notare che, sebbene il meccanismo difensivo sia sufficiente a tutelare le postazioni dal baco, anche le versioni del navigatore a corredo di Windows Vista e Windows 7 sono interessate dal difetto. Come tale, anche queste ultime riceveranno uno specifico fix al momento opportuno.

La patch è in arrivo, ma non subito

Microsoft ha precisato che, almeno per il momento, non sono stati segnalati attacchi studiati per far leva sulla nuova debolezza.

Il colosso è già al lavoro per preparare un aggiornamento in grado di turare la falla. Non vi sono però i tempi tecnici necessari affinché la correzione sia pronta entro martedì prossimo, giornata prevista per il rilascio dei consueti hotfix mensili: gli interessati dovranno quindi attendere ancora qualche tempo, probabilmente fino all'appuntamento di marzo.

Frattanto, gli utenti di Windows XP sono invitati ad applicare questo Fix it automatico per implementare alcune restrizioni in grado di rendere inaccessibile la funzione difettosa.

Un inizio anno con molte incertezze

Non si può certo dire che il 2010 si sia aperto nel migliore dei modi per la sicurezza dei sistemi Windows. Nonostante gli ottimi risultati sul mercato raggiunti dall'ottava versione, Internet Explorer continua a mostrare il fianco a vari problemi di sicurezza.

Dopo la grave debolezza in IE 6 che ha consententito ai cracker cinesi di compromettere varie aziende americane (fra le quali figura anche Google) dando il via ad un incidente diplomatico internazionale, è stato avvistato un bug vecchio di 17 anni nelle fondamenta del sistema operativo.

Per la prima è arrivata una patch straordinaria, mentre per la seconda ancora si attende una risposta ufficiale.