2092 Letture

Il 10 Gennaio patch ufficiale per la vulnerabilità WMF

E' arrivata oggi la notizia, da parte di Microsoft, che l'azienda rilascerà la patch correttiva per la vulnerabilità WMF il prossimo 10 Gennaio, data scelta per la distribuzione pubblica di aggiornamenti per il sistema operativo e per le principali applicazioni.
Nel frattempo, come si legge nel comunicato stampa del colosso di Redmond (ved. questa pagina), sebbene lo sviluppo della patch si sia ormai concluso, i giorni che precedono il prossimo 10 Gennaio saranno impiegati per effettuare gli ordinari test che permetteranno a tutti di fruire di un aggiornamento qualitativamente ineccepibile.
Microsoft, inoltre, ha voluto immediatamente sconsigliare l'applicazione di patch rilasciate da terze parti. Il riferimento, seppure indiretto, è certamente rivolto all'"hot fix" reso disponibile da Guilfanov, programmatore di fama internazionale. Sebbene l'applicazione della patch non ufficiale sia consigliata da numerosi esperti di sicurezza (tra tutti citiamo, il SANS Institute), l'azienda di Gates non mette la mano sul fuoco circa la sua qualità.
Alcune fonti riportano, inoltre, come alcuni responsabili Microsoft si siano detti furiosi per come la stampa ha descritto il problema relativo ai file in formato WMF paragonandolo quasi a worm come Blaster e Sasser. La vulnerabilità WMF, infatti, per poter essere sfruttata da parte di un malintenzionato, necessita la visita di un sito web maligno contenente immagini create appositamente per far leva sul problema.
Tra gli ultimi "alert" pubblicati sul sito dei WebSense Security Labs, sono mostrati alcuni esempi di siti web (ovviamente non ne vengono indicati gli URL per motivi di sicurezza) che sfruttano la falla WMF (ved. questa pagina).

Il 10 Gennaio patch ufficiale per la vulnerabilità WMF - IlSoftware.it