Vulnerabilità VML: Microsoft rilascia una patch "di emergenza"

Nei giorni scorsi avevamo informato i lettori circa la scoperta di una grave vulnerabilità (subito indicata da Secunia come “estremamente critica”) riguardante essenzialmente il browser Internet Explorer. Il problema risiede nel modulo che gestisce i documento in formato VML (Vector Markup Language): creando un file “ad hoc”, opportunamente modificato per far leva sulla vulnerabilità (viene causato un errore di buffer overflow), l’aggressore remoto può eseguire codice nocivo sulla macchina dell’ignaro utente. I rischi sono apparsi subito elevati dato che alcuni siti web hanno iniziato ad usare i codici exploit in grado di permettere, ad un aggressore remoto, di sfruttare la falla di sicurezza. La minaccia è partita da alcune pagine web russe a carattere pornografico: l’obiettivo consiste nello sfruttare la macchina infettata per lanciare attacchi spam ovvero per l’invio di messaggi indesiderati ad utenti di tutto il mondo.
Nelle ultime ore gli attacchi basati sulla vulnerabilità VML sono così aumentati tanto da spingere Microsoft al rilascio di una patch “out-of-cycle” ossia con circa due settimane di anticipo sulla data fissata mensilmente (il secondo Martedì di ogni mese) per la pubblicazione di aggiornamenti critici e dei relativi bollettini di sicurezza.
Secondo Websense, nota azienda attiva nel campo della sicurezza informatica, sono in corso numerosi attacchi via e-mail: se l’utente “malcapitato” visita la pagina web maligna cui viene fatto riferimento nel messaggio, sul suo personal computer – sprovvisto della patch appena messa a disposizione da Microsoft – verrebbe installato un oggetto BHO (si tratta di componenti specificamente ideati per Internet Explorer: gli oggetti di questo tipo sono nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti; per maggiori informazioni, ved. questi articoli). Tale componente, insediatosi sul sistema all’insaputa dell’utente proprio grazie alla vulnerabilità VML, sarebbe in grado di registrare tutti i dati inseriti nei form presenti nelle pagine web trasmettendoli a terzi.
Prima di installare la patch Microsoft che risolve il problema VML (MS06-055), è indispensabile provvedere alla disattivazione di qualunque soluzione temporanea applicata per ridurre i rischi di infezione. Ad esempio, qualora si fosse disattivata la libreria che si fa carico della gestione dei file VML, è necessario usare il comando regsvr32 "%ProgramFiles%File comuniMicrosoft SharedVGXvgx.dll" per registrarla nuovamente. Solo a questo punto si può applicare la patch MS06-055.
La patch relativa al problema VML viene automaticamente applicata attraverso la funzione “Aggiornamenti automatici” ed è prelevabile anche manualmente facendo riferimento a questa pagina.

Contemporaneamente, il colosso di Redmond coglie l’occasione per distribuire una versione aggiornata della patch MS06-049, destinata soltanto ai sistemi Windows 2000. Su tali piattaforme, in determinate circostanze e dopo l’applicazione della prima versione della patch, alcuni utenti avevano segnalato la corruzione di file compressi su unità NTFS.