Il 16 aprile scorso Microsoft ha rilasciato una patch volta a eliminare il rischio di un buffer overflow nel codice del kernel dedicato alla comunicazione dei messaggi di errore ai debugger. Le versioni di Windows a rischio sono NT 4.0, 2000 e XP: tuttavia, sulle macchine Windows XP con Service Pack 1, l'installazione della patch ha provocato, in molti casi, evidentissimi rallentamenti del sistema, peraltro scomparsi a seguito della disinstallazione. Sembra inoltre che anche macchine Windows 2000 siano incappate nel problema.

L'attaccante che riesca a sfruttare il buffer overflow può elevare i propri privilegi sul computer vittima ed eseguirvi codice arbitrario. Si tratta perciò, a tutti gli effetti, di una vulnerabilità "critica", alla quale Microsoft ha però preferito attribuire l'inferiore rango "importante", giustificandosi con la difficoltà intrinseca nell'attaccare macchine correttamente configurate e amministrate. Infatti, per portare a segno l'exploit, l'attaccante deve effettuare un login interattivo al computer: opzione che, soprattutto sui server, dovrebbe essere soggetta a limitazioni.

Al momento non è disponibile una versione della patch esente dal problema descritto; Microsoft, nel bollettino relativo alla vulnerabilità, dichiara che la patch attuale è sottoposta a revisione e verrà nuovamente rilasciata non appena "completamente e pienamente testata": una implicita ammissione di colpa.

Nel bollettino, tuttavia, rimane l'invito a installare la patch "alla prima occasione"; un secondo articolo, che approfondisce l'analisi delle cause dei rallentamenti, consiglia di non rimuoverla, fatti salvi quei casi nei quali l'impatto prestazionale sia davvero intollerabile: tale posizione è una palese conferma della potenziale gravità del buffer overflow. Viene però spiegato come disinstallare la patch ed è suggerito anche un workaround: disattivare la scansione in tempo reale dei file da parte del sistema antivirus eventualmente attivo sul computer. In poche parole, fino al momento in cui non sarà disponibile la patch della patch, gli utilizzatori di Windows dovranno rinunciare almeno in parte, in un modo o nell'altro, alla propria sicurezza.

Infine, per complicare la situazione, sia l'installazione che la disinstallazione richiedono che venga effettuato il bootstrap della macchina, perciò, soprattutto in ambienti critici di produzione, potrebbe non essere così agevole sperimentare con performance e antivirus per poi prendere la decisione definitiva.

Che fare? Dal momento che Windows NT sembra essere fuori della bufera, i suoi utilizzatori possono verosimilmente installare la patch specifica senza eccessive remore. Chi invece amministra macchine Windows 2000 e, soprattutto, Windows XP deve effettuare qualche attenta valutazione, confrontando l'effettivo rischio di subire attacchi con quello di abbattere il "livello di servizio" desiderato.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: