Venerdì sera della settimana scorsa, Microsoft ha pubblicato il Security Advisory numero 2501696 tramite il quale il gruppo ha messo in guardia gli utenti di tutte le versioni di Windows: un baco rintracciato nel sistema operativo può essere sfruttato per seguire come un ombra la navigazione, catturando e modificando il comportamento delle pagine web in modo potenzialmente malevolo.
Il difetto è localizzato nel gestore del protocollo MHTML (MIME Encapsulation of Aggregate HTML). Per correttezza formale, Microsoft ne parla come un baco di Windows, anche se il difetto è sfruttabile solamente da coloro che accedano al web con Internet Explorer: i prodotti concorrenti sono invece immuni.
Il baco non può essere sfruttato per eseguire codice da remoto, e prendere così il controllo del PC della vittima, ma potrebbe comunque consentire al cracker di intercettare informazioni riservate. Il blog ufficiale Microsoft Security Response Center (MSRC) ha così spiegato il funzionamento della trappola:
Un aggressore può costruire un link HTML progettato per eseguire uno script malevolo e, in qualche modo, convincere la vittima a cliccarlo. In caso l’utente cliccasse, lo script malevolo continuerebbe ad essere eseguito sul computer dell’utente per il resto della sessione corrente d’uso di Internet Explorer. Tale script potrebbe collezionare informazioni dell’utente (l’email, ad esempio), falsificare il contenuto mostrato dal browser o interferire in altro modo con l’esperienza dell’utente.
In attesa di una correzione ufficiale, l’azienda ha preparato un Fix-it automatico che disabilita la funzionalità in questione, neutralizzando così ogni attacco rivolto al componente. Il programma, in inglese ma compatibile anche con le localizzazioni italiane ed internazionali, può essere scaricato da qui e contiene anche un tool appositamente studiato per accertarsi che il problema sia stato effettivamente risolto.
Al momento non v’è ragione di affrettarsi più di tanto nell’applicare il fix: Microsoft, pur segnalando di aver rintracciato in rete un exploit preliminare (proof-of-concept), non ha ancora rilevato alcun attacco concreto rivolto a questa debolezza.
Stando alle dichiarazioni preliminari, il baco non è tanto grave da giustificare un update straordinario, in anticipo rispetto all’appuntamento mensile periodico. Con tutta probabilità quindi, l’utenza dovrà attendere almeno martedì 8 febbraio, prima di poter scaricare una patch completa.
Fonte: MegaLab