Pericolosa vulnerabilità nella libreria Zlib

Una pericolosissima vulnerabilità è stata identificata nella libreria Zlib, utilizzata in molti sistemi operativi (la stragrande maggioranza delle distribuzioni Linux e BSD) e software per gestire operazioni di compressione dati.
Se sfruttata da parte di aggressori remoti, la falla può comportare l’esposizione ad attacchi DoS (Denial of Service) o alla possibile esecuzione di codice dannoso. Il problema è dovuto ad un errore nel file “inftrees.c” allorquando vengano gestiti stream di dati corrotti e riguarda la versione 1.2.2 di Zlib e precedenti.
Zlib è ampiamente utilizzato, in modo trasparente, sia su software opensource che “proprietario”, ad esempio, per gestire dati e immagini nel formato PNG (Portable Network Graphics). Il rischio, quindi, è molto elevato tanto che i rispettivi produttori stanno in queste ore facendo a gara per rilasciare distribuzioni Linux esenti dal problema.
Per far qualche nome, sono stati già rilasciati gli aggiornamenti di sicurezza per le distribuzioni Redhat, SuSE, Ubuntu, Gentoo, Debian, Mandriva, Fedora, OpenBSD.
Un responsabile Microsoft ha riconoscito che versioni vulnerabili di Zlib sono state impiegate in vecchie versioni dei prodotti dell’azienda (incluse alcune componenti di Windows 98, Windows XP e alcune versioni di Office).
Una prima indagine condotta da parte di Microsoft avrebbe evidenziato come nessuna delle versioni di Windows al momento supportate sia affetta dal problema di sicurezza. L’azienda starebbe comunque proseguendo con le sue investigazioni: nell’eventualità in cui dovessero essere scoperte vulnerabilità, verranno rese disponibili le opportune patch.