05 aprile 2007

Povero Vista: cursori cattivi e patch taroccate

Il blogger Ethan Allen, che cura il sito TheHotfix.net, ha messo sul Web quella che definisce anteprima del service pack di vista, assolutamente non ufficiale che contiene le numerose patch, oltre un centinaio, che Microsoft sta ancora testando privatamente o fornisce solo ad una selezione di partner e clienti. Allen afferma che queste correzioni, ricevute da "una persona vicina a Microsoft", sono tutte candidate per l'inclusione nell'SP1 ufficiale di Vista.
L'autore del service pack "taroccato", che per lavoro è software quality assurance manager di un'azienda di Washington, ha spiegato che la sua collezione di fix si compone sostanzialmente di driver e di patch che migliorano la compatibilità di Vista con i software meno recenti e con vari dispositivi hardware (come quelli USB e FireWire), sistemano problemi di instabilità, ottimizzano il consumo energetico, e risolvono una molteplicità di altri problemi più o meno frequenti.

Nella raccolta, che può essere scaricata solo iscrivendosi al forum di TheHotfix.net, non è presente alcuna patch di sicurezza: un fatto che, secondo Allen, dimostra come "Vista sia già più sicuro di qualsiasi altro sistema operativo di Microsoft".

Microsoft disapprova queste patch non ufficiali e spiega che l'installazione di fix non pensati per la distribuzione di massa potrebbe creare problemi di varia natura, come instabilità e incompatibilità. "Installando una collezione di hotfix non necessari potrebbe causare più problemi di quanti ne risolva", ha avvisato il colosso.
Il monito di Microsoft non è da prendere alla leggera se si pensa che talvolta, a generare problemi, sono persino le patch più importanti e testate, come quella dei cursorsi animati. Nelle scorse ore diversi lettori di Punto Informatico hanno sperimentato un apparente problema di compatibilità tra il fix per Windows XP SP2 e il Realtek HD Audio Control Panel (Rthdcpl.exe). Per risolvere l'inghippo, Microsoft ha pubblicato una patch scaricabile da questo articolo KB.

Il problema dei cursori animati era questo: un aggressore poteva tentare di sfruttare la vulnerabilità creando una pagina web o un messaggio di email che, una volta aperti, causassero l'apertura di un file ".ani" malformato da parte di Windows Explorer. Più semplicemente, un'email potrebbe contenere il file ".ani" come allegato. A rendere un attacco di questo genere ancor più subdolo interviene il fatto che il file maligno può anche avere un'estensione diversa da ".ani": ad esempio, sono stati segnalati exploit che utilizzano l'estensione ".jpg", camuffando così un cursore animato malevolo in innocua foto. Una volta aperto, il file poteva causare un errore di buffer overflow nel codice di Windows che gestisce i file dei cursori animati (con estensione ".ani"). Più nel dettaglio, la libreria user32.dll di Windows non controlla in modo coerente la dimensione dell'header incluso in un file “.ani”.

Anticipando la data di pubblicazione dei bollettini di sicurezza di aprile, ieri Microsoft ha distribuito una patch che corregge la seria vulnerabilità di Windows relativa alla gestione dei cursori animati. Gli esperti raccomandano a utenti e aziende di applicare quanto prima l'aggiornamento.
BigM ha detto che la scelta di non attendere il consueto "martedì delle patch", che questo mese cade il giorno 10, è stata dettata dal crescente numero di attacchi che sfruttano la recente falla.

La patch può essere scaricata dai link forniti nel bollettino di sicurezza MS07-017 oppure attraverso Microsoft Update e la funzione Aggiornamenti automatici. Il fix si applica a Windows 2000, XP, 2003 e Vista. Il nuovo bollettino contiene le patch per altre sei vulnerabilità, tutte relative alla Graphics Device Interface (GDI) di Windows e tutte, tranne una (sfruttabile per attacchi di denial of service), utilizzabili esclusivamente da un utente locale per elevare i propri privilegi.

Nessun commento: