Redmond (USA) – Dallo scorso fine settimana, a pochi giorni di distanza dalla pubblicazione dei bollettini di sicurezza di febbraio , Microsoft ha ristretto l’accesso al suo network di instant messaging alle sole versioni aggiornate di MSN Messenger. Il colosso di Redmond ha giustificato la drastica mossa con la necessità di proteggere la sicurezza dei propri utenti.
Lo stesso giorno in cui Microsoft ha rilasciato la correzione di una grave vulnerabilità nella libreria libpng , la stessa utilizzata da Windows Media Player e MSN Messenger per elaborare le immagini in formato Portable Network Graphics (PNG), la società che ha scoperto la falla, Core Security, ha pubblicato su Internet un codice proof-of-concept che dimostra come sfruttare il bug. Tale codice è già stato utilizzato per creare un exploit malevolo in grado di mandare in crash il client sparamessaggini di Microsoft ed eseguire del codice: da qui la decisione del colosso di forzare gli utenti ad aggiornare MSN Messenger all’ultima versione, la 6.2.0205. Il problema interessa anche Windows Messenger, che essendo integrato in Windows XP può essere aggiornato direttamente attraverso il Windows Update.
In un advisory, Core Security ha spiegato che un utente potrebbe cadere vittima di un attacco semplicemente visualizzando l’avatar di un altro, ossia l’immagine che lo contraddistingue sulla rete di MSN Messenger: l’immagine malevola, in formato PNG, innesca infatti un buffer overflow che può eseguire del codice con gli stessi privilegi dell’utente locale. La società sostiene che un attacco di questo tipo è invisibile a tutti i tradizionali software per la sicurezza, inclusi firewall, antivirus e tool anti-intrusione.
Microsoft ha fortemente criticato la scelta di Core Security di pubblicare il codice del proprio proof-of-concept a poche ore di distanza dal rilascio della patch.
“Fra i ricercatori responsabili è ormai prassi comune attendere un ragionevole periodo di tempo prima di pubblicare questo tipo di codice”, ha affermato Microsoft in un comunicato. “Questo modo di procedere fornisce ai singoli utenti e alle aziende il tempo di testare, scaricare e installare gli aggiornamenti di sicurezza”.
Il big di Redmond ha rivolto lo stesso ammonimento a Finjan Software, la società di sicurezza che la scorsa settimana ha pubblicato un exploit per una recente vulnerabilità di Office XP. Anche in questo caso Microsoft raccomanda ai propri utenti di aggiornare quanto prima il software utilizzando il servizio Office Update .
Ti potrebbe interessare
14 feb 2005