Jyvaskyla (Finlandia) – Il buon vecchio protocollo Gopher, predecessore dell’attuale World Wide Web, torna alle cronache grazie ad un bug di Internet Explorer. Il browserone di Microsoft integra infatti al suo interno un client Gopher (che gestisce gli URL del tipo gopher:// ) contenente una pericolosa falla di sicurezza che potrebbe consentire ad un malintenzionato di prendere il pieno controllo del computer vittima.
La vulnerabilità, scoperta dalla società di sicurezza Oy Online Solutions (OOS), consiste in un buffer overflow nel codice di IE che gestisce le connessioni Gopher, un bug che può essere sfruttato remotamente da un aggressore per eseguire sulla macchina dell’utente qualsiasi tipo di codice e compiere azioni come la ricezione, l’upload, l’installazione o l’esecuzione di file. In un avviso di sicurezza OOS spiega che “un exploit di prova è già stato utilizzato con successo per far girare arbitrariamente del codice senza l’intervento dell’utente”. La cosa sembra funzionare con tutte le versioni ancora in circolazione di IE, fra cui la 5.5 e la 6.0.
“L’attacco – spiega OOS – può essere lanciato attraverso una pagina Web o una e-mail HTML che, una volta visualizzata, dirotti l’utente verso un server Gopher malevolo”. La società di sicurezza finlandese sostiene che il server Gopher può essere minimale e contenere solo lo stretto necessario per accettare connessioni su una porta TCP e scrivere un blocco di dati.
OOS, che non ha voluto fornire dettagli sul modo in cui sfruttare la falla, sostiene di aver dato notifica del problema a Microsoft il 20 maggio scorso. In attesa del rilascio di una patch da parte del big di Redmond, nel suo advisory OOS spiega come disabilitare il protocollo Gopher da IE.
Alcuni esperti ritengono che questo bug, visto che è legato ad un protocollo antiquato e ormai quasi del tutto in disuso, potrebbe essere contenuto nel codice originale di Mosaic, lo storico browser del National Center for Supercomputing Applications (NCSA) su cui IE si basa.