Microsoft ha confermato l’esistenza di una vulnerabilità in Internet Explorer legata, ancora una volta, alla controversa tecnologia ActiveX. Nel contempo due hacker hanno svelato una debolezza nel noto antagonista open source di IE, Firefox, relativa a JavaScript.
La falla di IE, a cui Microsoft ha dedicato questo advisory , interessa anche la Windows Shell ed è causata da un buffer overflow nel controllo ActiveX WebViewFolderIcon ( webvw.dll ). Sebbene l’esistenza del bug sia stata divulgata lo scorso luglio dal ricercatore H.D.Moore, la sua potenziale pericolosità è divenuta evidente solo pochi giorni fa, con la pubblicazione di un proof of concept che dimostra la possibilità di sfruttare la falla per eseguire del codice da remoto.
Secunia, che in questo advisory considera la gravità del problema “extremely critical”, ha confermato l’esistenza della debolezza in un sistema con Windows XP SP2 , IE6 e tutte le ultime patch di sicurezza. Il controllo ActiveX vulnerabile si trova anche in Windows 2000 e 2003, ma in quest’ultimo sistema operativo le impostazioni di sicurezza predefinite mitigano sensibilmente la pericolosità della falla.
Microsoft afferma di non essere a conoscenza di attacchi che sfruttino la recente vulnerabilità, ma il pericolo esiste: l’azienda ha infatti spiegato che un sito web creato ad hoc potrebbe approfittare della breccia per iniettare sui PC dei visitatori trojan e altri codici dannosi.
Il big di Redmond ha programmato il rilascio di una patch in occasione della pubblicazione dei suoi prossimi bollettini di sicurezza, previsti per il 10 ottobre. In attesa che venga distribuita, Microsoft raccomanda ai propri utenti di disattivare l’esecuzione degli ActiveX o impedire che il controllo WebViewFolderIcon possa essere richiamato da IE: le istruzioni si trovano nella sezione Suggested Actions -> Workarounds del suo advisory (che presto verrà pubblicato anche in italiano qui ).
Per la falla esistono al momento due patch non ufficiali, fornite da ZERT e Determina .
L’esperto di sicurezza Alex Sotirov ha avvertito che WebViewFolderIcon potrebbe essere solo uno dei molti vettori d’attacco della vulnerabilità . L’esperto sostiene infatti che l’errore alla base della falla è un integer overflow nella libreria comctl32.DLL , un importante componente di Windows utilizzato da un grande numero di applicazioni.
I problemi di sicurezza non risparmiano neppure il più diretto avversario di IE, Firefox. Secondo quanto riportato da ZDNet in questo articolo , i due hacker Mischa Spiegelmock e Andrew Wbeelsoi hanno rivelato l’esistenza di una falla nell’implementazione di JavaScript utilizzata da Firefox .
“Tutti sanno che Internet Explorer non è molto sicuro, ma Firefox non fa eccezione”, ha affermato Spiegelmock in occasione della conferenza di hacker ToorCon che si è tenuta lo scorso fine settimana a San Diego.
Spiegelmock ha spiegato che la falla, utilizzabile per eseguire del codice dannoso via Web , “è impossibile da patchare”: il motivo è che, secondo l’hacker, l’implementazione di JavaScript sviluppata da Mozilla Foundation “è un vero pastrocchio”.
Window Snyder, security chief di Mozilla Foundation , ha ammesso che il problema descritto da Spiegelmock “sembra effettivamente trattarsi di vulnerabilità”, forse della variante di un vecchio attacco.
Spiegelmock ha fatto sapere di essere a conoscenza di altre 30 vulnerabilità di Firefox attualmente senza patch, vulnerabilità che l’hacker non ha ancora in progetto di divulgare. Ad ognuno i suoi giochini.
Update – In un post apparso sul blog DevNews di Mozilla.org, Mischa Spiegelmock ha rettificato la propria dichiarazione in merito alle 30 falle di Firefox affermando che si trattava di una battuta umoristica mal interpretata dal giornalista. L’hacker ha anche precisato che il bug di Firefox relativo a Javascript era già noto, e che l’exploit mostrato alla conferenza era solo in grado di causare un crash del browser. A questo punto non possiamo che ribadire quanto già detto in precedenza: “a ognuno i suoi giochini”.