Sicurezza: immagini JPEG, mega-falla per Windows
(C) 2004 by Paolo Attivissimo
Adesso non ci si può fidare più neppure delle immagini. Infatti può essere sufficiente visualizzare un'immagine nel popolarissimo formato JPEG per infettare un computer Windows. Questo nuovo traguardo del progresso informatico è stato annunciato da Microsoft ieri (14/9/2004).
I dettagli tecnici sono disponibili qui:
http://www.microsoft.com/ ... ulletins/200409_jpeg.mspx
e in forma ancora più tecnica qui:
http://www.microsoft.com/ ... ty/bulletin/MS04-028.mspx
Ulteriori informazioni, appena disponibili, saranno catalogate qui:
http://www.cve.mitre.org/ ... me.cgi?name=CAN-2004-0200
Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il proprio software con Windows Update. Sono a rischio anche gli utenti di varie versioni di Microsoft Office, per i quali c'è un apposito aggiornamento.
Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98, 98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il Service Pack 2. Un elenco delle versioni di Windows e dei numerosi programmi vulnerabili è fornita da Microsoft, insieme ai link per l'aggiornamento, presso il secondo dei link citati sopra.
La vulnerabilità è considerata "critica" da Microsoft, dato che rende appunto sufficiente la visualizzazione di un'immagine (per esempio in Internet Explorer o in Outlook o in un documento Office) per permettere all'aggressore di fare quel che gli pare al PC del bersaglio.
Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente Windows basta visitare un sito Web contenente un'immagine appositamente confezionata, oppure ricevere l'immagine in un e-mail o via chat e aprirla/visualizzarla. È una falla _grave_.
Al momento non mi risultano disponibili dimostrazioni pubbliche del funzionamento di questa vulnerabilità.
È dunque il caso di smettere di scaricare immagini? Dobbiamo metterci a
tremare ogni volta che ci arriva una foto da un amico o sfogliamo una
pagina Web? Per adesso no, ma nei prossimi giorni sì.
La ragione è semplice: ora che la falla è stata annunciata, gli aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che agiscono con fini di lucro, come spammer e pornovendoli) si daranno da fare per scoprire il funzionamento della falla e sfruttarla (alcuni probablmente l'hanno già fatto). È quindi assolutamente indispensabile scaricare e installare gli aggiornamenti di sicurezza predisposti da Microsoft.
Gli utenti Mac e Linux al momento non risultano affetti da questo problema, che ricorda (in peggio) il recente allarme che li aveva colpiti per l'immagine ammazzabrowser, quella in formato PNG, già descritta in questa newsletter. Mentre nel caso della falla Mac e Linux il risultato era il collasso del browser, senza possibilità di infezione e senza danni permanenti al sistema operativo, nel caso di questa falla di Windows l'immagine non si limita ad ammazzare il browser, ma consente di infettare permanentemente il sistema operativo.
Per il vostro bene e per quello della Rete, insomma, se usate Windows, aggiornatelo. Aggiornatelo SUBITO.
Ciao da Paolo
www.attivissimo.net
- [16/12/12] Microsoft: i consumatori imparano velocemente a interagire con Windows 8
- [29/01/11] Microsoft: nuova falla nell'esecuzione di MHTML
- [26/03/08] Falla zero-day di Word, utenti a rischio
- [25/03/08] SA950627: falla Windows in Jet via Word
- [23/04/07] Falla DNS Server: nuovi dettagli
2 commenti a "Sicurezza: immagini JPEG, mega-falla per Windows":
Grazie al sistema operativo XP cade anche il baluardo del non poter nuocere
semplicemente usando un'immagine...
Siamo in attesa dei TXT che causano la formattazione e poi c'è tutto! :-/
http://www.pc-facile.com/news.php?n=16069
non è una novità di XP... evidentemente quel programmatore è rimasto in
microsoft :)