Gestione URI: Microsoft chiarisce i problemi che verranno risolti

Microsoft cerca di fare chiarezza su ciò che “patcherà” e su cosa non sarà oggetto di interventi. Un punto è però fermo: la metodologie con cui Windows XP e Windows Server 2003 gestiscono i vari protocolli non sarà pesantemente modificata. Mark Miller, direttore del Microsoft Security Response Center (MSRC), ha voluto spiegare – riferendosi al bug nella gestione degli URI (Universal Resource Identifier) in Windows – che ci sono due elementi da considerare. Il problema di sicurezza scoperto inizialmente nel corso del mese di Giugno scorso, è sì legato alla gestione dei protocolli ma “riguarda esclusivamente come applicazioni sviluppate da terze parti li trattano”, ha voluto puntualizzare Miller.
Alcuni mesi fa, alcuni ricercatori hanno messo a nudo vulnerabilità di sicurezza in applicazioni come Apple Safari e Mozilla Firefox che furono collegate alla gestione dei protocolli da parte di Windows. A Luglio molti ricercatori attribuirono esclusiva responsabilità a Windows mentre altri fecero notare come fossero le singole applicazioni a dover verificare la correttezza degli URI gestiti.
Mike Reavey, di MSRC, interrogato sul fatto se Microsoft fosse responsabile circa il rilascio di una patch risolutiva ha dichirato: “la risposta è sì e no”. I gestori di protocolli registrati da Windows sono responsabilità di Microsoft e saranno corretti nel momento in cui verranno scoperte vulnerabilità di sicurezza. Risolvere bug presenti in gestori di protocollo registrati da altre applicazioni non è invece competenza del colosso di Redmond, ha spiegato Reavey.
Uno dei protocolli più comuni come mailto: è di competenza Microsoft.
Microsoft non ha al momento fissato alcuna data di uscita di una patch per quanto riguarda la gestione degli URI da parte di Windows: la correzione rivedrà sostanzialmente il modo con cui la funzione ShellExecute analizza gli indirizzi ricevuti in ingresso.
Andrew Storms, direttore sicurezza presso nCircle Network Security, ha voluto far presente come uno degli aspetti più importanti risiederebbe nell'”informare” i vari sviluppatori software sugli elementi che Windows approva o non approva all’interno di indirizzi URI.