Roma – La stessa vulnerabilità che è stata di recente corretta nei browser di Mozilla.org, relativa all’URI (Universal Resource Identifier) “shell:” di Windows, è contenuta anche all’interno di due diffusi software Microsoft. A dirlo è Secunia, che in un advisory ha spiegato di aver verificato l’esistenza del problema in Word 2002 e MSN Messenger 6.x.
Secondo quanto scoperto dall’esperto di sicurezza Jesse Ruderman, i due software Microsoft mancano di restringere l’accesso alla funzionalità “shell:”, la stessa che sotto Windows consente ad un’applicazione di lanciare un programma esterno associato ad una determinata estensione (doc, txt, ecc.).
Un malintenzionato potrebbe far leva su questa feature per inserire all’interno di un documento o di un messaggio istantaneo un link che, una volta cliccato, esegue automaticamente un programma presente sul PC dell’utente. Come nel caso di Mozilla, però, la debolezza è di per sé poco pericolosa: l’aggressore, infatti, può soltanto lanciare applicazioni associate ad una data estensione senza poter passare loro alcun parametro. Il rischio potrebbe invece essere legato, secondo Secunia, all’uso della funzione “shell:” in congiunzione con altre vulnerabilità.
La società di sicurezza ha suggerito agli utenti di non seguire link dall’origine sconosciuta contenuti all’interno di documenti di Word o messaggi di MSN Messenger.
Nel circolo degli esperti di sicurezza si è acceso in questi giorni il dibattito se questa vada considerata vulnerabilità delle applicazioni o, piuttosto, una debolezza di Windows. Secondo l’opinione di Larry Seltzer, security center editor di eWeek , è compito dell’applicazione restringere l’uso della funzionalità “shell:”: “Sono le applicazioni – ha detto Tigner – che inviano al sistema operativo un’istruzione per eseguire un programma”. Resta il fatto, risponde Secunia, che già in passato quella funzione si è rivelata più volte pericolosa e, a suo dire, “andrebbe seriamente rivista o limitata”.
Negli scorsi giorni Secunia ha pubblicato alcuni advisory riguardanti altri prodotti di Microsoft, fra cui Office e la Java Virtual Machine (JVM). Il primo problema, descritto qui , riguarda la possibile esecuzione di codice malevolo quando si utilizza Word per modificare delle mail in Outlook o dei documenti HTML. Il secondo problema, esposto qui , riguarda invece una vulnerabilità di tipo cross-site communication presente nella JVM di Microsoft, potenzialmente utilizzabile per far comunicare fra loro applet Java di differenti domini.
Ti potrebbe interessare
14 lug 2004