Nelle scorse ore Microsoft ha reso disponibile un aggiornamento cumulativo di sicurezza per Internet Explorer che corregge vulnerabilità vecchie e nuove, tra le quali quella utilizzata per gli attacchi a Google e a decine di altri grossi network aziendali.
L’aggiornamento è contenuto nel bollettino straordinario MS10-002 , che Microsoft ha pubblicato al di fuori del suo tradizionale ciclo dei rilasci e con quasi tre settimane di anticipo rispetto ai bollettini di febbraio.
Tra le vulnerabilità più urgenti c’è quella sfruttata dai cracker cinesi per bucare Google, identificata come CVE-2010-0249, la quale è presente in tutte le versioni di Internet Explorer comprese fra la 6 e la 8.
Sebbene Microsoft abbia più volte sottolineato come, fino ad oggi, gli unici attacchi che sfruttano questa falla siano stati diretti contro IE6, negli scorsi giorni sono stati avvistati su Internet degli exploit apparentemente in grado di funzionare anche con IE7 e IE8. Tali exploit sono una variante di quello originale, conosciuto come Hydraq , il cui codice è nel frattempo diventato di pubblico dominio.
Va però sottolineato come IE7 e IE8 implementino meccanismi di sicurezza che, associati a quelli dei più recenti sistemi operativi di Microsoft, rendono molto più difficile lo sfruttamento di questa vulnerabilità. Dino Dai Zovi , noto esperto di sicurezza che ha analizzato a fondo i nuovi exploit, sostiene che l’unico modo per farli funzionare è quello di disattivare manualmente le funzioni di sicurezza Address Space Load Randomization e Data Execution Prevention .
Lo scorso martedì Jerry Bryant, membro del Microsoft Security Response Center (MSRC), ha spiegato in questo post che tra le applicazioni potenzialmente vulnerabili ci sono quelle che utilizzano la libreria di rendering mshtml.dll , come ad esempio le versioni di Outlook precedenti alla 2007, Outlook Express e Windows Live Mail: anche in questo caso, però, Microsoft afferma che le configurazioni di default dovrebbero rappresentare una solida difesa per l’utente. In ogni caso, Microsoft assicura che l’installazione dell’aggiornamento MS10-002 risolve il problema in tutte le applicazioni che ne sono afflitte.
Le altre 7 vulnerabilità corrette da questo aggiornamento interessano tutte le versioni di IE a partire dalla 5.01, e sono considerate della massima pericolosità in tutte le edizioni di Windows tranne che nella Server 2003, dove il rischio è definito “moderato”. A seconda del caso, le debolezze riguardano il cross-site scripting, la validazione degli URL e la corruzione della memoria, e tutte – tranne una – sono potenzialmente sfruttabili per eseguire del codice a distanza.
“Viste le diverse applicazioni che possono usare il componente vulnerabile, l’attacco potrebbe essere realizzato in tutti i diversi modi (navigazione Internet, email o documenti Office) che veicolano contenuti in formato HTML” ha spiegato Feliciano Intini, chief security advisor di Microsoft Italia, in questo post . I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato equivale a meno rischi. Solo la vulnerabilità CVE-2010-0249 era già pubblica”.
Alessandro Del Rosso