Vulnerabilità in Windows XP ed in Windows 2000. Il tempo scorre.

Due vulnerabilità sono state da poco scoperte nei sistemi operativi Microsoft. La prima, classificata come non critica, riguarda gli utenti di Windows XP SP2 e precedenti versioni. Il problema risiede nel modo con cui vengono gestite le immagini visualizzate nelle pagine web: assegnando loro dimensioni enormemente grandi, il risultato può essere quello di mandare in crash il sistema. Il consiglio che viene offerto consiste per ora nell’evitare di visitare siti web potenzialmente insicuri mentre si stanno compiendo operazioni importanti.
In Windows 2000, sebbene aggiornato con il Service Pack 4, è stata invece messa a nudo una falla ben più grave. La criticità della stessa è stata ulteriormente amplificata soprattutto dal fatto che l’azienda che l’ha individuata ne ha purtroppo pubblicato in Rete il cosiddetto “proof-of-concept” code, ottimo trampolino di lancio per i malintenzionati che volessero approfittare della lacuna di sicurezza per far danni.
Il problema è collegato con la libreria webw.dll, responsabile anche della gestione del riquadro di anteprima visualizzato tramite Risorse del computer od Esplora risorse in Windows 2000. Quando si seleziona un qualsiasi file da Esplora risorse, in Windows 2000, alcuni dati in esso contenuti non sarebbero adeguatamente trattati. In particolare, se la funzione di anteprima trova – tra le proprietà del file – il carattere @, provvede a generare un link cliccabile. Poiché la validazione della sottostringa contenente il simbolo @ non verrebbe effettuata correttamente, utenti maligni potrebbero sfruttare il problema per inserire, in un file creato “ad hoc”, del codice maligno.
Microsoft ha immediatamente preso a cuore il problema ma, nel frattempo, è consigliabile disattivare, in Windows 2000, la vsiualizzazione della finestra di anteprima (da Risorse del computer, menù Strumenti, Opzioni cartella, Usa cartelle di Windows (anziché Attiva contenuto Web nelle cartelle).
Intanto, continuano a scorrere le lancette che segnano il termine del supporto tecnico Microsoft per gli utenti di Windows 2000. Per questa versione di Windows, infatti, il “Mainstream support” ossia il supporto completamente gratuito da parte dell’azienda di Redmond cesserà il 30 Giugno 2005. A partire da quella data, Microsoft continuerà a rilasciare nuovi aggiornamenti di sicurezza considerati come critici mentre chi vorrà usufruire degli altri aggiornamenti dovrà iscriversi ad un programma a pagamento (trattasi del cosiddetto “Extended support”). Al termine di questo secondo periodo (30 Giugno 2010), Windows 2000 sarà definitivamente discontinuato così come accaduto per Windows NT 4.0 (30 Dicembre 2004). Chi volesse approfondire, può controllare i cicli di vita di tutti i software Microsoft, consultando la pagina ufficiale dell’azienda.
Prossimamente, comunque, dovrebbe essere rilasciato un corposo aggiornamento per Windows 2000. Non dovrebbe trattarsi di un Service Pack 5 quanto piuttosto di un “Update rollup” (ved. la pagina dedicata sul sito web Microsoft).