Redmond (USA) – Una lunga lista di applicazioni di Microsoft , fra cui Internet Explorer e Office 2003, contengono una vulnerabilità di sicurezza “critica” che potrebbe consentire ad un aggressore di prendere il completo controllo di un sistema.
La falla, corretta da Microsoft con il rilascio di 26 differenti versioni della stessa patch, consiste in un bug di tipo buffer overrun contenuto all’interno di un componente che elabora le immagini in formato JPEG: come accade in genere per vulnerabilità di questo tipo, il rischio è che qualcuno trovi il modo di sfruttare la debolezza per eseguire del codice a propria scelta. Al momento gli esperti di sicurezza sostengono che non è stato avvistato in Rete nessun exploit, ma potrebbe solo essere questione di tempo.
Nel proprio bollettino di sicurezza MS04-028 Microsoft ha spiegato che “nel caso in cui l’utente è loggato nel sistema con i privilegi di amministratore, un aggressore che riesca a sfruttare con successo la vulnerabilità potrebbe prendere il completo controllo del sistema vulnerabile, incluso installare programmi; visualizzare, modificare o cancellare dati; o creare nuovi account con pieni privilegi”.
Per far leva sulla falla, un cracker potrebbe indurre l’utente a visitare una pagina Web o ad aprire una e-mail contenenti un’immagine JPEG (.jpg) creata in un certo modo.
Il big di Redmond ha raccomandato ai propri utenti di “aggiornare immediatamente” i propri PC.
Microsoft ha verificato la presenza della vulnerabilità in Windows XP e Windows Server 2003 e in almeno una dozzina di applicazioni, tra cui Office XP e 2003, IE 6, Project 2002 e 2003, Visual Studio.NET 2002 e 2003 e Picture It! 9 e 2002. Fra i software non interessati dal problema ci sono IE 5.01 e 5.5, Windows XP con il Service Pack 2 e tutte le versioni di Windows precedenti a XP (a patto che non si utilizzi una delle applicazioni vulnerabili, come ad esempio Office XP sotto Windows 2000 o Windows XP SP2). Il componente fallato potrebbe trovarsi anche all’interno delle applicazioni di terze parti basate sul MS.NET Framework.
In aggiunta al problema con le immagini JPEG, Microsoft ha pubblicato un bollettino, l’MS04-027, che riguarda invece una vulnerabilità di sicurezza nel “WordPerfect 5.x Converter”, un componente utilizzato da alcune versioni di Office e Works per convertire il formato dei documenti Corel WordPerfect nel formato di MS Word.
Il bug, valutato da Microsoft come “important”, potrebbe consentire ad un aggressore di eseguire del codice e prendere il controllo di un PC: per far questo, il cracker deve prima indurre la potenziale vittima ad aprire un documento WordPerfect malevolo.
Proprio in questi giorni Microsoft Italia sta promuovendo il “Mese della Sicurezza” attraverso una serie di iniziative volte ad analizzare gli impatti del fenomeno nel nostro Paese e a sensibilizzare e informare aziende e utenti. Ecco alcuni dati e cifre.
Microsoft sostiene che in Italia le aziende spendono 849 milioni di euro in tecnologie e servizi legati alla sicurezza IT, una spesa che, secondo il colosso del software, “ha gravi ripercussioni sulla competitività delle imprese”. Per mitigare questa situazione Microsoft afferma di aver speso oltre 2 milioni di euro in attività di comunicazione e formazione, questo con l’obiettivo di “fornire un aiuto concreto alle aziende e ai consumatori per aumentare il livello di sicurezza del PC e delle infrastrutture IT”.
“Il problema della sicurezza informatica è sempre più una preoccupazione primaria per le aziende di ogni dimensione”, spiega Microsoft in un comunicato. “Non solo, secondo un’indagine Sirmi condotta sui professionisti IT di un campione di 300 aziende ed enti, è al primo posto tra le priorità dei responsabili dei sistemi informativi e costituisce una voce di spesa in continuo aumento. La spesa associata ai prodotti e servizi di sicurezza ha infatti registrato nel 2004 un incremento di circa l’11% rispetto all’anno precedente, per un valore complessivo nel nostro Paese di 849 milioni di Euro, pari a circa il 4% della spesa informatica”.
“I principali attacchi di tipo informatico – continua il comunicato – restano per l’86,9% dei casi i virus, seguiti da intrusioni nel sistema (35,2%), con importanti ripercussioni sulle attività di business delle aziende. A seguito di attacchi subiti, infatti, il 20,5% delle aziende campione ha registrato un blocco dei sistemi informativi, un rallentamento (nel 14% dei casi) o addirittura un arresto totale (6,6%) delle attività, la perdita di dati (13,1%) o un danneggiamento o modifica degli stessi (9%)”.
Microsoft sostiene che la consapevolezza dei possibili danni determinati dall’azione di virus, worm e altre forme di intrusione non autorizzate inizi a manifestarsi anche presso gli utenti finali. Secondo un sondaggio condotto da MSN.it su oltre 3.000 utenti, per il 30% dei consumatori sicurezza significa proteggere il proprio PC dall’infezione di virus e, per il 28%, dall’accesso non autorizzato da parte di intrusi, mentre per il 14% dei casi ha a che fare con la protezione dei dati e delle informazioni personali o, per il 13%, con la navigazione sicura sul Web.
“Per contrastare l’azione di criminali informatici è necessario affrontare il problema della sicurezza IT in modo consapevole e integrato, intervenendo da un punto di vista culturale, tecnologico, organizzativo e legislativo”, ha dichiarato Davide Viganò, vice direttore generale di Microsoft Italia. “Microsoft è infatti impegnata su tutti questi fronti migliorando la qualità e il livello di sicurezza dei propri prodotti, realizzando compagne di informazione verso i consumatori sulle procedure di protezione dei PC formando e supportando personale tecnico delle aziende sulle nuove minacce e sulle strategie di difesa, collaborando con il Governo e le istituzioni in campagne di sensibilizzazione sul tema”.
Microsoft ha citato fra i più importanti risultati dei propri sforzi nel settore della sicurezza il recente rilascio del Service Pack 2 per Windows XP, da ieri disponibile attraverso Windows Update e la funzione Aggiornamenti Automatici anche per gli utenti italiani. E’ curioso notare come Microsoft si riferisca per la prima volta all’SP2 come ad “una nuova versione di Windows”, una definizione utilizzata in precedenza solo da alcuni analisti.
Per la fine di settembre Microsoft conta di coinvolgere in attività di informazione e formazione sul tema sicurezza 12.000 medie aziende e più di 100.000 piccole imprese, oltre ai 10 milioni di visitatori di MSN.it e ai 1,5 milioni di utenti registrati di MSN Hotmail.