Puntatori animati "con sorpresa": a rischio tutte le versioni di Windows

I principali produttori di software antivirus hanno iniziato a mettere in guardia gli utenti circa la scoperta di una pericolosissima vulnerabilità che interessa tutte le versioni di Windows. La problematica è stata classificata da Secunia come “estremamente critica”, massimo grado di rischio secondo la scala dell’azienda danese.
La lacuna riguarda la non corretta gestione, da parte del sistema operativo, dei file in formato .ANI ossia dei cursori animati introdotti sin dai tempi di Windows 95. I file .ANI sono sostanzialmente dei “contenitori” di icone memorizzato nel celeberrimo formato .ICO.
L’utente, visitando un sito web contenente un file .ANI “maligno”, opportunamente messo a punto per far leva sul problema di sicurezza appena messo a nudo, oppure semplicemente aprendo un’e-mail html che includa un riferimento a tale file potrebbe immediatamente veder infettato il suo sistema.
Stando a quanto emerso dai primi test condotti, il rischio sarebbe particolarmente elevato utilizzando il browser Internet Explorer od il client di posta Outlook Express. Gli utenti di Internet Explorer 7.0, eseguito in Windows Vista in modalità protetta, sarebbero invece al sicuro (a patto che la funzionalità UAC sia regolarmente attiva).
Secondo quanto dichiarato da McAfee, gli utenti di Firefox 2.0 sarebbero immuni.
Va comunque sottolineato che la visualizzazione di un file .ANI “maligno” da Risorse del computer può causare un’infezione immediata: la stessa McAfee ha pubblicato sul suo sito web un video che mostra un sistema indotto a crash continui (ved. questa pagina) proprio a causa della lacuna di sicurezza in questione.
Per quanto riguarda i client di posta, il suggerimento generale consiste nell’attivare la visualizzazione delle e-mail in formato testo puro (e non in html). Microsoft, da parte sua, sottolinea che gli utenti di Outlook 2007 sarebbero al sicuro, indipendentemente dalla modalità di visualizzazione della posta elettronica.
Nel caso di Outlook Express, invece, il problema di sicurezza è particolarmente grave: a rischio sono tutti gli utenti, sia che la visualizzazione sotto forma di testo puro risulti o meno attiva. Dal nostro punto di vista, suggeriamo di disattivare almeno il riquadro di anteprima dei messaggi di posta evitando di aprire quelli sospetti o comunque provenienti da persone sconosciute.
L’Internet Storm Center di SANS conferma l’esistenza e la gravità del problema riportando anche tutta una serie di domini che già sfrutterebbero il problema.
eEye ha pubblicato una patch temporanea (ved. questa pagina) che deve essere disinstallata prima di procedere all’applicazione degli aggiornamenti ufficiali che Microsoft provvederà a rilasciare. La patch di eEye impedisce la memorizzazione di file in formato .ANI esternamente alla cartella di sistema di Windows: l’obiettivo è quello di impedire il caricamento di file nocivi da parte dei siti web maligni che si dovessero visitare.