Articoli

Microsoft e la falla nei link

  • Stampa

Microsoft correggerà la falla degli URI (estratto da Punto Informatico di venerdì 12 ottobre 2007)

La vulnerabilità degli URI (Uniform Resource Identifier), venuta alla ribalta lo scorso luglio con Firefox , si è presto rivelata una vera e propria piaga per la sicurezza di Windows XP. Nel giro di pochi mesi, infatti, sono decine le applicazioni rivelatesi vulnerabili al problema, e tra queste si contano Acrobat e Adobe Reader, FoxIT Reader, Skype (patchato di recente), Netscape, Miranda IM, Outlook Express e Outlook 2000.
Il problema nasce dal fatto che Windows XP e Windows 2003, dopo l'installazione di Internet Explorer 7, gestiscono gli indirizzi URI in modo leggermente diverso da quanto succedeva con IE6: ciò fa sì che la stragrande maggioranza delle applicazioni che passa degli URI o degli URL (come un link http:// o mailto://) a Windows utilizzando la funzione ShellExecute(), e manca di filtrare gli indirizzi da caratteri non validi, può consentire l'esecuzione di comandi e programmi senza l'autorizzazione dell'utente. Sebbene tali applicazioni abbiano la colpa di non validare gli URI è indubbio che la vulnerabilità è frutto di una modifica di cui Microsoft non ha previsto gli effetti collaterali.
E così, dopo essere stata per mesi sulla difensiva, Microsoft ha infine ammesso l'esistenza del problema e le responsabilità di Windows. "IE7 aggiorna un componente di Windows, modificando l'interazione tra Internet Explorer e Windows Shell quando gestiscono URL o URI", si legge in un articolo tecnico  appena pubblicato da BigM. "Un aggressore può tentare di sfruttare questa vulnerabilità iniettando degli URI o URL fatti in un certo modo all'interno di un'applicazione e inducendo un utente a compiere un'azione che inneschi la vulnerabilità. Ad esempio, un aggressore potrebbe convincere un utente a seguire il link contenuto in un messaggio di posta elettronica che, una volta cliccato, esegue del codice a sua scelta con gli stessi privilegi dell'utente loggato nel sistema".
...
Maggiori informazioni sul problema degli URI si possono trovare su Heise Security e su Beta Nwes .

Per chi utilizza i prodotti Mozilla occorre aggiornarsi alle seguenti versioni:
    Firefox 2.0.0.6
    Thunderbird 2.0.0.6
    Thunderbird 1.5.0.13
come spiegato nella sezione tecnica del loro sito.