Scoperte pericolose vulnerabilità in XMLHttp e Visual Studio

Microsoft mette in allerta i suoi utenti, mediante la pubblicazione di un “advisory” ufficiale, circa la presenza di una pericolosa vulnerabilità scoperta all’interno del controllo ActiveX “XMLHTTP 4.0”. Questa lacuna assume un’importanza molto rilevante considerato l’ampio utilizzo che oggi si fa di XMLHTTP: si tratta infatti di un insieme di API che possono essere utilizzate da parte di un gran numero di linguaggi di scripting (quali, ad esempio, Javascript e VBScript) per lo scambio di dati tra client e server mediante il protocollo HTTP. XMLHTTP è uno dei componenti chiave utilizzati nello sviluppo di pagine web basate su AJAX (ved. questa pagina).
Un aggressore remoto, sfruttando la vulnerabilità di XMLHTTP, potrebbe eseguire codice nocivo sulla macchina “vittima” semplicemente spingendo l’utente a visitare un sito web maligno mediante il browser Internet Explorer.
Tra le varie soluzioni temporanee al problema, Microsoft suggerisce di impedire il caricamento dell’ActiveX “incriminato” in Internet Explorer impostando uno speciale “kill bit” nel registro di sistema di Windows: si tratta di inserire uno speciale valore DWORD che impedisce l’utilizzo del controllo.
Non appena Microsoft rilascerà una patch risolutiva, bisognerà eliminare la chiave aggiunta nel registro di sistema. Nel frattempo, provvedendo all’impostazione del “kill bit” è probabile che alcuni siti web non vengano più visualizzati in modo corretto.
Per applicare il “kill bit” abbiamo preparato per voi uno speciale file REG prelevabile cliccando qui. Per annullarne successivamente l’applicazione, è sufficiente fare doppio clic su questo secondo file REG.

Anche gli utenti di Visual Studio non sono esenti da problemi. Purtroppo, una vulnerabilità rilevata all’interno della libreria wmiscriptutils.dll (controllo “WMI Object Broker”) può esporre il sistema ad attacchi remoti. Microsoft dovrebbe rilasciare un aggiornamento apposito per risolvere la falla di sicurezza nel corso del prossimo “patch day” previsto per il 14 Novembre. Molti siti web maligni stanno però già ampiamente facendo leva sulla vulnerabilità: è consigliabile anche in questo caso, quindi, utilizzare l’apposito “kill bit” (file REG per l’attivazione; file REG per la disattivazione).