Cupertino (USA) – Gli smartphone e i PDA su cui gira Windows Mobile contengono due bug che potrebbero renderli facile bersaglio di attacchi di tipo denial of service. A dirlo è la nota società di sicurezza Trend Micro, che negli scorsi giorni ha pubblicato un paio di advisory dove spiega che entrambi i problemi possono causare il completo blocco del dispositivo.
I bug interessano le versioni 5.0 e 2003 di Windows Mobile e sono contenuti nella versione pocket di Internet Explorer e in Pictures and Video , l’applicazione dedicata alla riproduzione dei contenuti multimediali.
Il bug di IE , di tipo stack overflow, potrebbe essere innescato dall’apertura di una pagina Web maligna e causare la chiusura improvvisa del browser nonché l’instabilità del sistema. Per far tornare il dispositivo a funzionare correttamente è necessario riavviarlo.
Il bug di Pictures and Video è invece innescato dall’apertura di una immagine JPEG malformata e, secondo Trend Micro, può congelare l’intero sistema per circa 10-15 minuti: dal momento che in questo lasso di tempo non appare alcun messaggio di errore, l’utente potrebbe pensare ad un crash e riavviare il dispositivo perdendo eventualmente dati e messaggi non salvati.
Fortunatamente nessuno dei due bug può essere utilizzato per compromettere la sicurezza del sistema.
Microsoft ha dichiarato che sta investigando sui due problemi e di essere pronta, nel caso ce ne fosse bisogno, a distribuire ai produttori di device un firmware aggiornato da mettere a disposizione dei loro utenti. Fino al rilascio di una patch, Trend Micro suggerisce agli utenti di non aprire pagine Web sconosciute e immagini JPEG provenienti da fonti non affidabili.
Nelle scorse ore diverse fonti, tra cui Symantec e FrSIRT , hanno segnalato una vulnerabilià zero-day di Word che, se inedita, sarebbe la quinta nel giro di due mesi: l’ ultima è stata scoperta solo pochi giorni fa. Un portavoce di Microsoft ha però affermato che, dalle prime indagini, sarebbe emerso che la nuova vulnerabilità è in realtà “un doppione” , ovvero un problema già pubblicamente noto. In ogni caso, FrSIRT riporta che il bug – classificato critical – non è ancora stato corretto.
Secondo Symantec, la debolezza interessa Word 2003, 2002 e 2000 e viene attualmente sfruttata da un worm, battezzato Mdropper.X , che si cela all’interno di un allegato di posta elettronica.