Redmond (USA) – In risposta all’urgente necessità di fermare gli attacchi che, sulla scia di Download.Ject , hanno recentemente interessato gli utenti di Internet Explorer, Microsoft ha pubblicato una patch per Windows che modifica un aspetto basilare del comportamento del proprio browser.
L’ aggiornamento , descritto in questo articolo della Microsoft Knowledge Base, riguarda una funzionalità di IE che consente ad un controllo ActiveX chiamato ADODB.Stream di leggere e scrivere file sull’hard disk locale. Sebbene non si tratti di un bug di sicurezza ma di una caratteristica prevista dai creatori del software, la funzione ADODB.Stream è stata di recente utilizzata da alcuni cracker per inoculare sul computer degli utenti dei programmi malevoli, tra cui keylogger in grado di rubare password, numeri di carte di credito ed altri dati personali. Gli aggressori hanno infatti scoperto che tale controllo ActiveX poteva essere sfruttato in congiunzione con alcune falle di IE per eseguire del codice JavaScript sul computer dell’utente e installarvi un cavallo di Troia scaricato da un sito Web remoto.
“Un oggetto di tipo stream ADO rappresenta un file in memoria. Tale oggetto contiene diversi metodi per la lettura e la scrittura di file binari e di testo”, si legge nell’articolo tecnico KB870669 pubblicato da Microsoft. “Quando questa funzionalità by-design (ovvero, prevista in fase di progetto) è combinata con alcune note vulnerabilità di sicurezza di IE, un sito Web può eseguire script nel contesto di sicurezza Local Machine. Questo comportamento è causato dal fatto che l’oggetto ADODB.Stream, quando ospitato in IE, consente l’accesso all’hard disk”.
La nuova patch, disponibile anche su Windows Update, disattiva la funzione incriminata: se una pagina Web tenta di usare un oggetto ADODB.Stream viene generato un messaggio di errore ActiveX.
Stephen Toulouse, security program manager del Security Response Center di Microsoft, ha spiegato che la modifica, benché permanente, va considerata una soluzione temporanea al problema.
“In aggiunta a questo cambiamento nella configurazione del software, che proteggerà i clienti contro le attuali minacce riportate di recente, Microsoft sta lavorando ad una serie di aggiornamenti di sicurezza per IE che, nelle prossime settimane, forniranno ulteriori protezioni ai nostri clienti”, ha scritto Microsoft in un comunicato.
Nel suo ultimo bollettino di sicurezza, il CERT ha ripetuto la propria raccomandazione di utilizzare un browser alternativo a quello di Microsoft. Il SANS Institute ha di recente affermato che “continuare ad usare IE è come giocare alla lotteria” o, come suggerito da qualcuno con un gioco di parole, “alla roulette russa”: russi sono infatti gli autori di Download.Ject e di Bankhook .
Microsoft ha ricordato che “verso la fine dell’estate” rilascerà l’SP2 per Windows XP, il più corposo e complesso aggiornamento di sicurezza mai creato dal big di Redmond.