|
|
|
|
|
|
Nuova falla in XP, è già usata dai criminali online |
|
|
Tavis Ormandy, uno degli
esperti di sicurezza informatica di Google che lavora in Svizzera, ha
scoperto una falla molto grave in Windows XP e ha dato a Microsoft solo
cinque giorni di tempo per realizzare e distribuire il rattoppo prima di
annunciarne pubblicamente i dettagli nella lista Full Disclosure.
La falla, classificata con il codice CVE 2010-1885, riguarda il Centro
assistenza di Windows (l'Help and Support Center) e consente
all'aggressore di eseguire comandi a proprio piacimento sul computer
della vittima semplicemente inducendo la vittima stessa a visitare un
sito Web appositamente confezionato o a cliccare su un link in un
messaggio di posta. L'attacco funziona con tutti i principali browser,
compreso Internet Explorer 8 e quelli alternativi come Firefox o Chrome,
ed è ancora più semplice da realizzare se il computer bersaglio ha
installato Windows Media Player (che è installato automaticamente in
tutte le versioni principali di Windows). Brutto affare.
La cosa non è piaciuta ad altri ricercatori di sicurezza (Graham
Cluley di Sophos, Robert Hansen di SecTheory e Andrew Storms di
nCircle Security, sentiti da Computerworld),
che hanno ritenuto poco prudente la divulgazione dei dettagli della
vulnerabilità: solitamente in questi casi si contatta Microsoft
informandola con discrezione della falla scoperta, eventualmente si
collabora alla sua correzione, e solo allora – quando gli utenti sono
protetti – si divulgano i dettagli. Secondo Ormandy, invece, l'annuncio
della falla dopo soli cinque giorni è stato necessario proprio a causa
della sua gravità e perché Microsoft, a suo dire, avrebbe ignorato
l'avviso se non fosse stato accompagnato da una dimostrazione
funzionante.
Alcuni di questi ricercatori pensano che si tratti di una schermaglia
nella guerra in corso fra Microsoft e Google: una sorta di "Vedete?
Ve l'avevo detto" per giustificare la criticata scelta di Google,
segnalata a fine maggio dal Financial
Times, di eliminare Windows dai computer dei propri dipendenti e
sostituirlo con Linux o Mac OS X, adducendo problemi di sicurezza. Non
va dimenticato che Google presenterà ufficialmente il proprio sistema
operativo, concorrente di Windows, entro la fine di quest'anno.
Il risultato di tutto questo è che è già stato segnalato
il primo sito innocente nel quale è stata inserita dai criminali una
forma di attacco che sfrutta la vulnerabilità divulgata da Ormandy per
depositare un cavallo di Troia nei computer delle vittime. Il sito
attaccato è stato ripulito e nel frattempo Microsoft ha pubblicato uno strumento di correzione
che risolve temporaneamente la falla in attesa di un rattoppo formale e
definitivo. Questo strumento va usato dagli utenti di Windows Server
2003 e Windows XP; chi usa Windows Vista, Windows Server 2008, Windows
2000 e Windows 7 non è a rischio. Un rischio che forse si poteva gestire
un po' meno avventatamente.
Maggiori informazioni sulla falla sono disponibili nel blog di sicurezza
di Microsoft Technet.com
e nell'avviso
di sicurezza 2219475 della stessa Microsoft.
Commenti () |
|
|
|
|
 |
|
