Windows vittima delle immagini killer

Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilitÓ senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED

Roma - Nella comunitÓ internazionale di esperti di sicurezza Ŕ allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq, Ŕ infatti apparso un advisory che descrive una vulnerabilitÓ di Windows XP zero-day: ci˛ significa che sebbene il bug sia appena stato scoperto, su Internet giÓ circola un exploit in grado di sfruttarlo.

Il problema Ŕ causato da una non corretta gestione, da parte del motore di rendering di Windows, di certi file grafici in formato Windows Metafile (WMF): un file WMF malformato pu˛ eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.

Va posta attenzione sul fatto che, seppure fra loro molto simili, quella di cui si parla non Ŕ la stessa vulnerabilitÓ corretta da Microsoft lo scorso novembre.
A rendere la situazione piuttosto critica c'Ŕ il fatto che almeno un paio di siti web stanno giÓ sfruttando la vulnerabilitÓ per diffondere cavalli di Troia e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, pu˛ infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l'immagine WMF: in tale evenienza il file viene aperto con il viewer d'immagini integrato in Windows. Pare tuttavia che le pi¨ recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non Ŕ in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.

L'exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack (v. update a fine pagina).

╚ interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l'esecuzione del codice dannoso: stando a quanto riportato nel blog dell'Internet Storm Center (ISC), la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso "bit NX".

Data la gravitÓ del problema, che Secunia non ha esitato a classificare come "extremely critical", Ŕ certo che in Microsoft qualcuno passerÓ il Capodanno a sviluppare una patch. Nell'attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo (Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta).

Update (ore 12,30) - In questa pagina l'ISC fornisce nuove informazioni aggiornate sulla minaccia e su alcune soluzioni temporanee. L'ISC precisa anche che la tecnologia DEP funziona solo se si imposta il livello massimo di protezione e, anche in questo caso, non risulta sempre efficace. Nelle scorse ore anche Microsoft ha pubblicato un advisory in cui spiega, fra le altre cose, come la vulnerabilitÓ interessi potenzialmente tutte le versioni di Windows (dalla 98 in poi). Il big di Redmond afferma tuttavia che in Windows Server 2003 il problema Ŕ mitigato dalle restrizioni applicate di default a IE.
TAG: sicurezza
369 Commenti alla Notizia Windows vittima delle immagini killer
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 39 discussioni)