Sicurezza: a rischio versioni più datate di Windows e IE

Microsoft ha pubblicato sul suo sito web due “advisory” spiegando la scoperta di alcune vulnerabilità di sicurezza in Windows ed Internet Explorer. Va detto che in questo caso, i problemi riguardano solo vecchie versioni del browser o sistemi Windows XP non ancora aggiornati al Service Pack 2.
In particolare, ha fornito alcuni dettagli (ved. questa pagina) su una vulnerabilità di Internet Explorer 5.01 SP4 su sistemi Windows 2000 SP4 e di Internet Explorer 5.5 SP2 su sistemi Windows ME relativa alla gestione di file in formato WMF. Sebbene l’azienda di Redmond abbia dichiarato come il problema sia differente rispetto a quello risolto con il rilascio, in occasione dell’Epifania, della patch MS06-001, le modalità con cui un malintenzionato può causare danni sono molto simili (invio di un messaggio contenente un file WMF allegato opportunamente creato per sfruttare la falla di sicurezza; navigazione su siti web “maligni”). Microsoft suggerisce l’aggiornamento ad Internet Explorer 6.0 SP2.
La seconda vulnerabilità ha a che fare con le Access Control List (ACL) di Windows. In determinate circostanze, un utente malintenzionato può acquisire privilegi più elevati per far danni sul personal computer preso di mira. I sistemi interessati sarebbero Windows XP SP1 (sono esclusi i sistemi aggiornati a Windows XP Service Pack 2) e Windows 2003 Server con il servizio NetBT attivo (conosciuto anche come NBT o NetBIOS over TCP/IP, trattasi di un protocollo di rete che consente ad applicazioni “datate” facenti uso delle specifiche NetBIOS di dialogare su reti TCP/IP senza necessità di operare modifiche). Questo documento, alla sezione “Workarounds”, fornisce alcune soluzioni temporanee applicabili fintanto che non sarà rilasciata una patch ufficiale.