Sarebbero trenta le falle segnalate nel browser open source. E Microsoft è alle prese con un bug nella shell di Windows
Scenario: una conferenza “hacker” tenutasi a San Diego, in California.
Qui, sotto gli occhi di un membro di Mozilla Foundation, Mischa Spiegelmock
e Andrew Wbeelsoi hanno analizzato Firefox nel dettaglio spiegando come il codice
di programmazione che governa il “motore” responsabile della gestione
del linguaggio Javascript sia talmente disordinato da renderne pressoché
impossibile la correzione.
Dichiarando di essere a conoscenza di 30 falle di sicurezza non ancora
sistemate nel browser opensource, i due ricercatori hanno mostrato,
al pubblico presente, i punti basilari del codice exploit in grado di sfruttare
una pericolosa falla di sicurezza Javascript presente in Mozilla Firefox.
Alla Foundation sono subito saltati sulla sedia con una reazione duplice.
In primo luogo si usa cautela osservando come la vulnerabilità descritta
alla conferenza di San Diego potrebbe essere una variante di qualcosa di già
conosciuto. D’altra parte si condanna simili comportamenti che mettono potenzialmente
a rischio tutti gli utenti del software: la pubblicizzazione di una falla di
sicurezza riportando i dettagli tecnici utili per sfruttarla può condurre
alla repentina diffusione di codice nocivo su larga scala.
Nel frattempo, anche Microsoft è alle prese con la risoluzione di alcuni
gravi problematiche di sicurezza relative ad Internet Explorer. Dopo quella
collegata con il file daxctle.ocx (Windows Multimedia Controls)
scoperta a metà settembre e la “falla-VML”, individuata e risolta
pochi giorni dopo mediante il rilascio di un’apposita patch ufficiale, è
allarme per una grave “lacuna” presente nella shell di Windows
e, in particolare, nella libreria webvw.dll che fa capo al
controllo ActiveX WebViewFolderIcon.
Visitando una pagina web “maligna”, contenente il codice in grado
di far leva sulla vulnerabilità, l’utente può vedere il proprio
sistema divenire facile preda di aggressori remoti. Sul web è già
purtroppo ampiamente diffuso il codice exploit in grado di far danni: il nuovo
problema di sicurezza assume quindi un profilo ancor più pericoloso.
Nell’attesa del rilascio di una patch ufficiale, Microsoft
consiglia di disattivare temporaneamente l’esecuzione di controlli ActiveX
oppure di inserire nel registro di sistema il cosiddetto “kill bit”
che impedisce l’uso del controllo vulnerabile. Nel frattempo, molte aziende
attive nel campo della sicurezza informatica – tra le quali anche eEye -, hanno
sviluppato e rilasciato patch non ufficiali per la risoluzione temporanea del
problema.