Con l'advisory 981374 pubblicato martedì sera, Microsoft ha messo in guardia gli utenti dei sistemi Windows circa un nuovo, serissimo problema di sicurezza che interessa Internet Explorer.
Un difetto nel modo in cui il browser Microsoft impiega un puntatore potrebbe far sì che il programma tenti di accedere ad una locazione di memoria non più valida. Un cracker potrebbe sovrascrivere il contenuto dell'area in questione con codice eseguibile a propria discrezione, che verrebbe poi processato sul PC della vittima. Il risultato potrebbe essere l'installazione di malware assortito, grazie il quale l'aggressore sarebbe in grado persino di prendere pieno controllo del sistema compromesso via Internet.
Per far scattare la trappola, il cracker non dovrebbe far altro che predisporre una pagina web malevola e convincere la propria vittima a visitarla con una versione fallata di Internet Explorer: a questo punto, il trabocchetto scatterebbe in maniera automatica.
La vulnerabilità, classificata "estremamente critica" dagli esperti di Secunia, interessa solamente Internet Explorer 6 ed Internet Explorer 7. La release più recente del browser blu è invece immune, così come l'antidiluviana release 5.01 che accompagna Windows 2000.
Le postazioni più esposte sono quindi quelle equipaggiate con Windows XP e Windows Vista che non fossero state opportunamente aggiornate ad Internet Explorer 8 tramite l'update gratuito. I PC governati da Windows 7, dotato nativamente dell'ultima versione di IE, non sono quindi a rischio.
Per quanto riguarda Windows Vista, si segnala che Internet Explorer 7 in esecuzione in "Modalità protetta" potrebbe limitare la portata dell'aggressione.
Anche Windows Server 2003 è potenzialmente in pericolo, ma la configurazione più restrittiva proposta di default, sommata al fatto che una piattaforma per server non dovrebbe essere impiegata per la regolare attività di navigazione, rendono tale sistema meno esposto.
È importante sottolineare che il baco è attualmente sfruttato per portare attacchi mirati: il pericolo è quindi assolutamente concreto.
Come tutelarsi
Microsoft si è detta impegnata a valutare la situazione e, con tutta probabilità, a preparare una patch in grado di epurare il software dal baco.
Affinché l'aggiornamento possa essere disponibile al pubblico sarà però necessario attendere un intero mese: il ciclo di aggiornamento mensile per il mese di marzo è infatti caduto martedì appena trascorso. Sebbene sia possibile che l'azienda scelta di rilasciare un update "straordinario", non vi sono attualmente segnali che il gruppo sia intenzionato a muovere in tale direzione.
Frattanto, l'advisory Microsoft propone una serie di rimedi per contenere il rischio. Quello più semplice ed indicato è l'aggiornamento ad Internet Explorer 8, disponibile per tutte le piattaforme a rischio.
In caso questo non fosse possibile, l'azienda suggerisce, oltre al sempre valido "non navigare su siti insicuri", di impostare ad Alto il livello di sicurezza della zona Internet oppure modificare le opzioni del browser di modo che il programma chieda conferma prima di eseguire ogni script: tali modifiche, sebbene siano sicuramente in grado di porre rimedi al baco, sono però poco realistiche: in questo modo infatti, la maggior parte delle pagine web moderne smetterebbe di funzionare correttamente.
In alternativa, è possibile limitare l'accesso alla libreria "iepeers.dll" impiegando i comandi proposti nella sezione Workarounds del comunicato. Tale soluzione, sebbene non del tutto esente da alcuni effetti collaterali, potrebbe essere comunque accettabile.
Microsoft segnala infine che, abilitando Data Execution Prevention (DEP) per il processo di Internet Explorer (Strumenti -> Opzioni Internet -> Avanzate -> Ablita la protezione della memoria, oppure tramite il fix it automatico), il tentativo di eseguire l'accesso illegale alla memoria potrebbe essere bloccato sul nascere. In questo caso, un attacco andato a buon fine causerebbe soltanto il crash del programma, senza però portare all'esecuzione di codice da remoto.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati