Come anticipato da Microsoft la scorsa settimana, le vulnerabilità corrette ieri dai bollettini di marzo sono in tutto quattro, tra le quali una critica e tre importanti .
La falla più severa ( MS09-006 ) riguarda il kernel di tutte le versioni attualmente supportate di Windows, dalla 2000 alla 2008, ed in particolare il codice del Graphics Rendering Engine che sovrintende all’elaborazione delle immagini in formato Windows Meta File (WMF) e Enhanced Metafile (EMF). Come si può intuire dal livello di gravità assegnato al problema, tale debolezza potrebbe essere sfruttata da un malintenzionato per eseguire del codice a distanza e installare nel sistema malware o altri codici dannosi.
Tra i potenziali vettori di attacco vi sono tutti quei programmi capaci di aprire i file EMF/WMF: tra questi Internet Explorer, Paint e il visualizzatore di immagini integrato in Windows.
Il formato WMF, di cui EMF rappresenta il successore, è stato sviluppato da Microsoft verso la fine degli anni ’80, e incluso per la prima volta in Windows 3.0 (1990). “All’epoca nessuno progettava le applicazioni non mission-critical tenendo conto del fattore sicurezza”, spiegò Mikko Hypponen, CEO di F-Secure , in occasione di un’altra vulnerabilità legata a questo formato di file.
Le altre tre vulnerabilità, descritte nei bollettini MS09-007 e MS09-008 , possono essere utilizzate in attacchi di spoofing: in un caso la falla riguarda il componente SChannel di Windows, che fornisce supporto ai protocolli SSL e TLS; negli altri due casi riguarda il servizio DNS e WINS incluso nelle edizioni Server di Windows. Il rischio, nel caso della prima falla, è che un aggressore riesca ad impersonare un utente legittimo ottenendo il suo certificato digitale senza disporre della relativa chiave privata. Gli altri due bug, invece, potrebbero consentire ad un aggressore di dirottare il traffico di rete indirizzato ad un host verso un sistema a sua scelta.
Microsoft afferma che tutte le vulnerabilità corrette dai bollettini di ieri hanno un exploitability index di 2 o 3: ciò significa che la creazione di un exploit efficace e realmente pericoloso è alquanto improbabile, specie per l’esecuzione di codice da remoto.
Gli utenti di Windows dovrebbero guardarsi anche da un’altra vulnerabilità, questa volta non correlata a prodotti Microsoft. Si tratta di un problema di Adobe Acrobat e Adobe Reader già balzato alle cronache lo scorso febbraio ma dalla portata apparentemente più ampia di quanto inizialmente previsto dagli esperti. Secondo quanto riportato dal ricercatore Didier Stevens, la falla può essere innescata semplicemente aprendo, con l’Explorer di Windows, una cartella contenente un PDF maligno. A renderlo possibile è la shell extension per Explorer installata nel sistema dai prodotti di Adobe.
Ieri la società californiana ha rilasciato le versioni 9.1 di Reader e Acrobat che correggono la succitata vulnerabilità nonché diversi altri bug.