Redmond (USA) – Molte delle funzionalità congegnate da Microsoft per rendere più facile la vita all’utente, molto spesso si sono rivelate anche fonte di guai.
Fra le tecnologie maggiormente soggette a vulnerabilità sulla sicurezza sembra esservi quella ActiveX. Questa tecnologia viene utilizzata anche all’interno della funzione Active Setup Download comunemente utilizzata per scaricare gli aggiornamenti dal sito Windows Update. La funzione consente, fra le altre cose, di analizzare i file già presenti sul PC dell’utente in modo da scaricare solo quelli necessari limitando i tempi di download.
Recentemente è però venuto fuori che l’Active Setup Download potrebbe prestare il fianco ad attacchi di tipo denial of service su alcune versioni di Internet Explorer, per la precisione la 5.01 e la 4.01 SP2. In pratica un webmaster o un cracker potrebbero utilizzare questa funzionalità per sovrascrivere file di sistema e rendere così inutilizzabile o malfunzionante il PC del malcapitato.
Questo è possibile aggirando la protezione data dai certificati di autenticità di Internet Explorer: chiunque può infatti prelevare liberamente dal sito di Microsoft un file “firmato” dall’azienda, incorporarlo come parte di un download su di un sito Web qualsiasi e superare così i controlli dell’Active Setup, che lo crederà un file autenticato. In questo modo il pirata ha l’opportunità di sovrascrivere file importanti di Windows e, potenzialmente, arrivare a bloccare il sistema vittima.
Microsoft, che assicura che la falla non consente comunque l’accesso diretto al sistema, ha già rilasciato una patch in grado di risolvere il problema.