Pericolosa vulnerabilità sfrutta l'help in linea di Windows

Il ricercatore che aveva recentemente scoperto due pericolose vulnerabilità nel pacchetto “Java Runtime Environment” (JRE) e nella “Virtual DOS Machine” di Windows, torna oggi all'”onore delle cronache”. Come conferma la società danese Secunia, azienda specializzata nel campo della sicurezza informatica, Tavis Ormandy ha individuato una grave lacuna nell’applicazione Windows che consente l’accesso alla documentazione online del sistema operativo (“Guida in linea e supporto tecnico“), offerta da Microsoft.

L’esistenza del problema di sicurezza è stato verificato sui sistemi Windows XP SP3 con Windows Media Player 9 ed Internet Explorer 8. Certamente al sicuro sono invece gli utenti di Windows 7. Secondo quanto ripotato, la falla potrebbe essere sfruttata per eseguire comandi dannosi sul sistema dell’utente.

Ormandy ha illustrato una procedura che può portare all’esecuzione di comandi potenzialmente pericolosi nel momento in cui l’utente dovesse trovarsi a visitare, con Internet Explorer – nella configurazione di default – una pagina contenente un indirizzo hcp:// maligno. L’URI (Uniform Resource Identifier) hcp:// viene invocato da Ormandy a partire da un file ASX, solitamente aperto con Windows Media Player (i file ASX sono solitamente utilizzati per la creazione di “playlist” di file audio e video).
L’aggressore potrebbe essere ad esempio in grado, sfruttando la vulnerabilità individuata dall’esperto inglese, di eseguire l’applicazione client FTP per scaricare un malware dal web in modo da poterlo quindi eseguire.

Il ricercatore suggerisce di disattivare temporaneamente la gestione dell’URI hcp:// accedendo al registro di Windows ed eliminando la chiave HKEY_CLASSES_ROOTHCPshellopen non prima, però, di averne effettuato il backup (ripristinabile prima dell’installazione della patch ufficiale di Microsoft, non appena questa verrà distribuita).

Avevano offerto qualche spunto di riflessione sul tema URI già qualche anno fa, in un articolo dedicato.