Nella serata di ieri Microsoft ha pubblicato un bollettino di sicurezza straordinario, l’ MS10-018 , che contiene un aggiornamento cumulativo per Internet Explorer. L’update risolve in tutto 10 vulnerabilità “critiche”, una delle quali – identificata come CVE-2010-0806 – è stata oggetto di un recente advisory ed è attivamente sfruttata dai cracker .
È stato proprio il crescente numero di attacchi che fanno leva sulla falla CVE-2010-0806 a spingere BigM a pubblicare un bollettino fuori del suo tradizionale ciclo mensile dei rilasci. Con l’occasione la mamma di Windows ha corretto anche altre serie vulnerabilità di IE 5.01/6/7/8, la maggior parte delle quali (8 su 10) sono relative all’esecuzione di codice a distanza. Di queste, tuttavia, sono la CVE-2010-0806 era già pubblica.
“Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota dovuta al modo in cui Internet Explorer accede a un oggetto non inizializzato correttamente o eliminato” si legge nel bollettino in riferimento al bug CVE-2010-0806. “Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web dannosa. Se un utente visualizza la pagina Web, la vulnerabilità potrebbe consentire l’esecuzione di codice in modalità remota”. Nel caso in cui l’utente sia loggato nel sistema con diritti di amministrazione, l’aggressore può ottenere il pieno controllo del sistema remoto. Va ricordato come questa falla non interessi Windows 7, Windows Server 2008 R2 o Internet Explorer 8.
Tutte le debolezze contemplate dal bollettino MS10-018 possono essere potenzialmente sfruttate da un aggressore realizzando una pagina HTML maligna e inducendo l’utente ad aprirla. Vale la pena notare come, delle 10 vulnerabilità appena corrette da Microsoft, 8 interessino IE6, 7 IE7 e soltanto 3 IE8: da ciò si comprende bene perché sia BigM che gli esperti di sicurezza raccomandino agli utenti che ancora utilizzano una vecchia versione di IE a migrare quanto prima alla più moderna e robusta versione.
Come spiega in questo post Feliciano Intini, responsabile sicurezza di Microsoft Italia, l’aggiornamento migliora anche la protezione da certi attacchi di tipo cross-site scripting (XSS), e in particolare l’ X-XSS-Protection HTTP header . “Una nuova sintassi mode=block indica al filtro XSS Filter di disabilitare completamente il contenuto della pagina web nel caso si rilevi un attacco XSS di tipo reflected . Ad esempio: X-XSS-Protection: 1; mode=block”.
A chi nelle scorse settimane avesse applicato la soluzione Fix-it rilasciata da Microsoft per la vulnerabilità CVE-2010-0806, Intini ricorda di rimuovere questo workaround ( qui le istruzioni) prima di procedere all’installazione di questo aggiornamento. Come usuale, le patch contenute nell’ultimo bollettino di Microsoft possono essere installate manualmente, seguendo i link forniti nel bollettino stesso, oppure scaricate attraverso Windows Update (non appena disponibili).
Microsoft ha precisato che questo bollettino non corregge la falla utilizzata nel recente contest Pwn2Own per bucare IE8 e Windows 7. “Al momento stiamo ancora investigando sul problema e non abbiamo un aggiornamento disponibile” si legge in questo post del Microsoft Security Response Center. “In accordo con le regole della competizione, le vulnerabilità utilizzate (nel Pwn2Own, NdR) sono divulgate responsabilmente, in questo modo i rispettivi vendor possono creare gli aggiornamenti per proteggere i loro clienti prima che le vulnerabilità possano essere utilizzate dai criminali”.
Per altro lo scorso venerdì, sul Windows Security Blog , Microsoft aveva difeso IE8 sostenendo che l’attacco esibito al Pwn2Own era molto sofisticato, e che in ogni caso i meccanismi di protezione inclusi nelle più recenti versioni di IE e di Windows “non sono progettati per impedire qualsiasi attacco per sempre, ma per rendere decisamente più difficile sfruttare una vulnerabilità”.
Alessandro Del Rosso