www.MegaLab.it

La falla nella libreria di decodifica delle immagini di cui abbiamo parlato qualche giorno fa sta assumendo dimensioni davvero apocalittiche.

Microsoft non ha ancora rilasciato una patch ufficiale, anche se la si aspetta con certezza per l'aggiornamento mensile del 9 gennaio.

Nel frattempo stanno fioccando un po' ovunque nuove varianti (una cinquantina almeno, secondo alcuni osservatori) delle immagini velenose: questo proliferare di file ha messo in crisi i principali antivirus, che non riescono a mantenere aggiornate le definizioni antivirali per intercettare tutte le variazioni sul tema.

Questo l'esito della scansione effettuata da Virus Total nella giornata di ieri.

Come si vede sono pochi i prodotti che riescono effettivamente ad intercettare il file utilizzato per il test.

Uso Firefox: sono al sicuro?

È bene capire che si tratta di una (pericolosissima) falla del sistema operativo, e non di Internet Explorer: come tale, si è potenzialmente esposti all'attacco qualunque navigatore sia in uso.

Al contrario di Internet Explorer però Firefox non lancia immediatamente il visualizzatore di immagini, e quindi non compromette istantaneamente il sistema: una volta salvato il file localmente però l'exploit viene mandato in esecuzione.

Il DEP mi protegge?

Stanno circolando in Rete notizie poco corrette riguardo alla protezione che potrebbe garantire la funzione di Data Execution Prevention introdotta dal Service Pack 2 di Windows XP: è bene precisare che questa protezione è attiva solamente in caso anche il processore sia predisposto, cioè di fatto solo gli ultimissimi modelli.

Nelle prove che ho condotto ad esempio, il mio Athlon XP 3000+ ha mostrato di non supportare tale funzionalità, e l'exploit viene eseguito comunque. Stando ad un comunicato di AMD solo i processori di classe Athlon 64 includono questa funzione: anche in questo caso però, varie testimonianze piuttosto affidabili confermano che non sempre il meccanismo funziona correttamente.

Insomma, la strada DEP non è al momento una soluzione accettabile.

La prima patch non-ufficiale

Il SANS Institute ha presentato la prima patch non ufficiale per questa debolezza: secondo i nostri test, effettuati anche su Windows XP Service Pack 2 italiano, la correzione è effettivamente funzionante, e permette di arginare il problema.

Sebbene sia solitamente sconsigliabile installare aggiornamenti non-ufficiali (soprattutto in ambiente aziendale) vista la pericolosità della debolezza in questione raccomandiamo di eseguire quanto prima il setup su tutti i sistemi che dispongano di un accesso ad Internet, tanto quelli domestici quanto quelli enterprise.

• Unofficial WMF patch by Ilfak Guilfanov (patch in inglese, funziona anche su Windows 2000/XP/2003 italiano)