Buchi, l'Odissea di Access

La patch rilasciata da Microsoft per chiudere il grosso buco di sicurezza nel suo sistema database non risolve tutti i problemi. Necessari alcuni accorgimenti in attesa di un nuovo aggiornamento

Buchi, l'Odissea di AccessWeb - A poche settimane dalla segnalazione del pericoloso buco di sicurezza in Access, Microsoft Ŕ corsa ai ripari pubblicando una patch pensata per risolvere il problema e aggiornare il programma di gestione dati. Secondo alcuni dei pi¨ noti esperti di sicurezza, per˛, la patch non risolve e lascia dei buchi molto pericolosi, sufficienti a terzi per prendere controllo del computer di utenti Access.

Il primo bug, di cui si Ŕ parlato a luglio, poteva consentire ad un male intenzionato di costringere Access, sulla macchina "target", ad aprire un proprio database contenente codici che avrebbero potuto mettere il computer vittima in balýa dell'aggressore. La gravitÓ del bug era dovuta al fatto che per cadere nella "trappola" non serviva cliccare o aprire un file allegato ad una email (come accade per molti virus), ma bastava visualizzare una pagina o un messaggio di posta elettronica contenente un certo codice HTML.

Il 9 agosto Microsoft ha rilasciato una patch per il problema (Patch 11) ma i KeyLabs l'hanno testata trovando un modo di aggirare la protezione contenuta dalla "cura" pubblicata da Microsoft e colpire computer equipaggiati con Access2000 e Word2000. Attraverso Word2000, infatti, gli esperti di sicurezza hanno dimostrato che Ŕ possibile entrare nella macchina vittima e spingerla ad eseguire codici che si trovano all'interno del sistema o applicazioni pensate da chi compie l'aggressione.
Secondo gli esperti del CERT, inoltre, ad essere vulnerabili non sono solo i database con estensione .mdb, ma anche i "sistemi di lavoro" .adp, .ade, .mda, .mde e .mdw.

La soluzione provvisoria Ŕ quella di installare la patch 11 di Microsoft ma anche di inserire una password aggiuntiva all'apertura di Access. Questo impedisce ad un aggressore di aprire il sistema senza l'inserimento della password da parte dell'utente.
TAG: sicurezza