mercoledì 16 marzo 2011

Google: navigazione a rischio sui social network con Internet Explorer

Dal Google Security Team giunge un allarme per chi utilizza Internet Explorer: sono stati recentemente condotti alcuni attacchi a siti sociali in grado di sfruttare una vulnerabilità in Windows segnalata a livello di MHTML e veicolati specificatamente tramite il browser Microsoft. La vulnerabilità riscontrata in Windows a livello di MHTML (MIME Encapsulation of Aggregate HTML) non ha ancora trovato un’adeguata risposta da parte di Microsoft a distanza di quasi due mesi dalla sua scoperta e così, adesso, Google ha deciso di lanciare l’allarme. 

La vulnerabilità è legata a Windows, ma l’expolit è stato realizzato in modo da agire con Internet Explorer, quindi il Google Security Team ha messo in guardia gli utenti Windows che usano Internet Explorer dei pericoli che potrebbero essere loro arrecati da questa falla, invitando gli utenti ad usare un browser alternativo almeno fino a che Microsoft non avrà rilasciato la patch specifica che sarebbe in fase di preparazione. La vulnerabilità a livello di MHTML, nonostante l'exploit sia stato reso pubblico già nel mese di gennaio, non ha ancora trovato un correttivo ufficiale da parte dei tecnici di Redmond. Auspicata nel pacchetto aggiornamenti dell'8 febbraio prima e dell'8 marzo poi, la patch risulta infatti ancora in fase di sviluppo. Il ritardo è stato già giustificato da Microsoft informando l'utenza che in realtà non erano note forme di attacco che potessero essere veicolati attraverso la vulnerabilità denunciata. Oggi Google smentisce in pieno questa presa di posizione, confermando la presenza di innumerevoli assalti condotti tramite il bug MHTML, probabilmente di matrice politica, ma perpetrati anche a danno degli utenti di siti sociali. La vulnerabilità potrebbe consentire a un utente malintenzionato di far eseguire script dannosi alle vittime quando visitano un sito Web, con conseguente divulgazione di informazioni. L'impatto è simile a quello delle vulnerabilità XSS. Google ha spiegato di aver adottato alcune precauzioni, anche se non è sicura di riuscire a proteggere tutte le utenze attestate sui suoi server. Nonostante tutto, ammette di aver stretto in queste ore una collaborazione con Microsoft per trovare una soluzione al problema. Nell'attesa gli utenti e le aziende che utilizzano Internet Explorer possono arginare la vulnerabilità utilizzando l'apposito Fix It. Questa soluzione temporanea dovrebbe essere utilizzata fino a quando non venga rilasciata la patch definitiva.


L'MHTML estende l'HTML per incorporare oggetti codificati, ad esempio immagini, in documenti HTML o altri file binari. I funzionari di Microsoft dicono che gli effetti collaterali del FixIt sono trascurabili. "Nei nostri test, l'unico effetto collaterale che abbiamo incontrato è che vengono disabilitati l'esecuzione di script e ActiveX all'interno di documenti MHT. Ci aspettiamo che nella maggior parte degli ambienti questo avrà un impatto limitato. Sebbene MHTML sia un importante componente di Windows, è raramente utilizzato tramite link ipertestuali mhtml. Nella maggior parte dei casi, MHTML è utilizzato dietro le quinte, e questi scenari non vengono intaccati dal blocco del protocollo di rete. Infatti, se non vi sono script nel file MHT, questo verrà visualizzato normalmente senza alcun problema. Inoltre, per i file MHT certamente sicuri, per i quali si desidera che gli script vengano eseguiti in IE, gli utenti possono fare clic sulla barra delle informazioni e selezionare Consenti tutti i protocolli". L'annuncio di Google sembra quasi una mossa per screditare il noto browser di casa Microsoft nel giorno del rilascio della nona edizione di Internet Explorer, "nato su concetti moderni e sviluppato con un occhio di riguardo per le prestazioni e la sicurezza", secondo Microsoft. Ma solo per chi possiede un pc con Windows Vista e 7, il software non funziona infatti con XP, dunque o si aggiorna sistema operativo o ci si deve indirizzare verso altri browser. Anche per questo Microsoft si è trovata a fronteggiare una progressiva perdita di utenti, con la conseguenze crescita di Chrome (oggi intorno al 10%) e un Firefox che supera il 21%. La patch definitiva contro la vulnerabilità di Windows dovrebbe a questo punto essere rilasciata nel corso del prossimo aggiornamento Microsoft mensile, se non anticipata nel caso l'attacco dovesse assumere dimensioni importanti.

Nessun commento:

Posta un commento