Redmond (USA) – Ciò che la stessa Microsoft ha definito “una seria vulnerabilità” nelle scorse ore, pare proprio una vera voragine nelle difese di Outlook e di Windows.
Secondo quanto affermato dai tecnici di Redmond, la breccia, trovata da due istituti indipendenti di ricerca, permetterebbe ad un hacker di infettare un PC e prenderne il controllo semplicemente inviando un messaggio di posta elettronica alla sua vittima.
Se fino ad oggi si aveva la sicurezza che per prendersi un worm virus si doveva perlomeno aprire o visualizzare l’anteprima di un messaggio, oggi anche questa certezza viene a cadere. Per sfruttare questa falla non è quindi più necessario che l’utente legga la mail: la “bomba” si innescherà non appena scaricato il messaggio. Le conseguenze sono gravissime per l’immagine di Microsoft.
Il nuovo bug scoperto in Outlook può dunque consentire ad un hacker malizioso di generare sul PC della vittima un errore di tipo “buffer overflow” a seguito di sequenze particolari di numeri e caratteri nel campo “data e ora” della mail. La situazione di errore può consentire all’assalitore di eseguire nel sistema vittima un codice arbitrario in grado di fare qualunque cosa, anche formattare l’intero hard disk.
Va detto che la vulnerabilità non colpisce gli utenti che abbiano installato Internet Explorer 5.01 Service Pack 1 o che dispongano di Internet Explorer 5.5 a meno, però, che non si utilizzi Windows2000. Gli utenti di Windows2000 devono installare subito, per evitare rischi, il Windows2000 Service Pack 1.
Microsoft si è detta consapevole della gravità del problema e si è messa subito al lavoro per rilasciare al più presto un bollettino su Internet e, si spera, un rimedio efficace. Pare che in programma siano due patch: una per i sistemi che fanno girare Windows con IE e un’altra per chi utilizza Outlook, ma non per chi utilizza Outlook Express…
Proprio ieri il colosso di Redmond ha annunciato il rilascio di una patch per Internet Explorer che pone rimedio ad un’altra grave falla di sicurezza nell’esecuzione di Javascript. Periodaccio per l’azienda e per gli utenti dunque?