I bug non sono stati corretti dal recente patch day di Microsoft. Il codice maligno è già stato pubblicato, ma non sembra ancora diffuso in larga scala.
A distanza di poche ore dalla pubblicazione dei bollettini di sicurezza del mese da parte di Microsoft, si è diffusa la notizia della scoperta due due nuove e, a quanto pare, pericolose vulnerabilità. L’una riguarda Internet Explorer 7.0 mentre la seconda WordPad, componente installato in Windows in modo predefinito.
Elia Florio, uno degli esperti dei laboratori Symantec, a proposito della scoperta delle nuove minacce osserva: “si tratta semplicemente di sfortuna oppure di un disegno preparato a tavolino da parte di un gruppo di aggressori?” Al momento, sempre secondo Florio, è difficile trarre una conclusione: più aziende attive nel campo della sicurezza informatica sono comunque d’accordo sull’origine della minaccia relativa ad Internet Explorer 7.0 che sarebbe partita dall’Estremo Oriente.
“Purtroppo la vulnerabilità relativa ad Internet Explorer non è stata corretta nel patch day di Dicembre“, ha aggiunto Florio che spiega come l’attacco possa andare a buon fine su macchine Windows XP SP3 sulle quali siano stati correttamente applicati tutti gli aggiornamenti sinora messi a disposizione da parte di Microsoft. Sebbene il problema sia stato accertato su Internet Explorer 7.0, anche la precedente versione del browser potrebbe presentare una vulnerabilità analoga.
“Le analisi pubblicate inizialmente da diversi produttori di software antivirus ed antimalware“, spiega Florio, “identificano la causa del problema in una lacuna nella gestione di tag XML malformate purtuttavia, dopo un’analisi più approfondita, il problema sembra affliggere il motore di parsing XML di IE7 così come la libreria MSHTML.DLL“. Secondo Florio gli aggressori potrebbero sfruttare in futuro molteplici vettori d’attacco e non solo elementi e tag XML.
Il codice “maligno”, che è stato pubblicato su diversi forum cinesi, non sembra ancora diffuso ma già dai prossimi giorni potrebbero iniziare a registrarsi i primi attacchi su scala più vasta.
La vulnerabilità riguarda solo ed esclusivamente Internet Explorer. Florio consiglia agli utenti del browser Microsoft di disattivare temporaneamente l’esecuzione di codice Javascript sui siti web non fidati sintanto che la falla di sicurezza non sarà corretta. Sempre valido l’ottimo consiglio che consiste nell’assicurarsi di “navigare” in Rete da un account non dotato di privilegi amministrativi.
Per quanto riguarda la vulnerabilità che interessa WordPad, sembra che il problema sia legato al convertitori dei testi utilizzato dal “mini-word processor” integrato in Windows.
In particolare, viene puntato il dito contro il convertitore di file prodotti con Word 97. E’ bene sottolineare comunque come la vulnerabilità affligga solo le versioni più vecchie del sistema operativo: Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1/SP2. Nessun problema invece per gli utenti di Windows XP SP3, Windows Vista e Windows Server 2008.
Come spiega Microsoft, affinché l’attacco possa andare a buon fine è indispensabile che l’utente apra un file “maligno”, creato appositamente con lo scopo di far danni, su un sistema vulnerabile ricorrendo all’applicazione WordPad. Se sul sistema è installato Word, è solitamente questa l’applicazione con cui vengono aperti anche i documenti prodotti con Word 97: in questo caso l’attacco non potrà avere successo.