Emerge un bug nel Windows rubato

Emerge un bug nel Windows rubato

Pubblicato online il primo exploit che sfrutta una falla di sicurezza scoperta in una porzione del codice trafugato di Windows. Nel frattempo i cracker hanno messo a punto il primo attacco all'ASN.1 di Windows
Pubblicato online il primo exploit che sfrutta una falla di sicurezza scoperta in una porzione del codice trafugato di Windows. Nel frattempo i cracker hanno messo a punto il primo attacco all'ASN.1 di Windows


Roma – Come diversi esperti avevano previsto, il recente furto del codice sorgente di Windows 2000 e di NT4 ha già consentito ad uno sviluppatore di individuare nel software di Microsoft un punto debole e creare il relativo exploit.

La falla, costituita da un buffer overflow, si trova all’interno del codice di Internet Explorer 5 che gestisce le immagini bitmap. Secondo quanto riportato in un advisory apparso su SecurityTracker.com, “un utente remoto può creare un particolare file bitmap che, quando caricato da IE, genera un buffer overflow e consente l’esecuzione di codice a libera scelta dell’aggressore”.

La vulnerabilità non sembra interessare IE 6, attualmente la più diffusa versione del browser di Microsoft.

L’esperto che ha creato l’exploit afferma di aver scoperto il bug analizzando alcune delle righe di codice di Windows che in questi giorni sono apparse in Internet, comprese le reti P2P e IRC.

L’attenzione degli esperti è però catalizzata da un altro exploit, questa volta non correlato al codice trafugato, che per primo sfrutta la vulnerabilità nella libreria ASN.1 di Windows 2000/XP/2003 corretta da Microsoft la scorsa settimana.

Per il momento l’exploit può essere utilizzato solo per attacchi di tipo denial of service, tuttavia gli esperti temono che i cracker possano presto trovare il modo per eseguire del codice da remoto.

Update (ore 11,50): Microsoft ha fatto sapere che il bug trovato nel codice sorgente rubato di Windows era già stato scoperto internamente dall’azienda e corretto con il rilascio del Service Pack 1 per IE 6.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 18 feb 2004
Link copiato negli appunti