Anche oggi non poteva mancare l'ormai consueto contributo allo stillicidio infinito di security advisories riguardanti i due prodotti Microsoft più utilizzati da chi frequenta la Rete.

Il primo problema riguarda la Java Virtual Machine facente parte di Explorer a partire dalla versione 5.5 in poi: se il browser ospita un applet Java che accede ad Internet attraverso un HTTP proxy server, l'attaccante può inserirsi nella sessione, cioè "fare ponte" tra l'applet e il server. Ciò gli consente di intercettare i dati in transito e, volendo, bloccare il traffico diretto dal server al browser (simulando la caduta del servizio) o alterarne il contenuto, pilotando la sessione a proprio piacimento.

In termini generali, un "proxy server" è una sorta di interfaccia locale verso un servizio: un proxy HTTP riceve le richieste di servizi web dai browser e le redirige verso i server HTTP. Opzionalmente (ma quasi tutti i proxy HTTP lo fanno) esso mantiene su disco una copia degli oggetti (pagine web, immagini) consegnati ai client: se un oggetto viene richiesto più volte, a partire dalla seconda richiesta il proxy consegna al browser la propria copia, dopo avere verificato che l'originale non sia stato aggiornato. Ne deriva un notevole incremento di performance, perché viene evitato il trasferimento diretto dei dati dalla sorgente remota attraverso una tratta di rete (Internet) tipicamente più lenta della rete locale. E' probabile che l'uso dei proxy HTTP sia poco diffuso tra gli utenti "domestici", ma è frequentissimo in ambito aziendale, cioè proprio là dove la vulnerabilità descritta può risultare più pericolosa.

L'altra falla salita alla ribalta in questi giorni, invece, riguarda tutti gli utilizzatori di IE, Outlook e Outlook Express. Essi utilizzano un oggetto software, il WebBrowser Control, che, a partire dalla versione 5.5 contiene un baco che permette ad un attaccante di eseguire programmi sul computer ospitante inserendo in una mail o in una pagina web semplici frammenti di codice XML.

Grey Magic Software pubblica un esempio del codice necessario ad effettuare l'attacco e una pagina che consente di verificare se il proprio sistema sia vulnerabile.

Microsoft non ha rilasciato alcuna patch specifica: ciò appare particolarmente grave, quando si consideri che la vulnerabilità non dipende dalla configurazione delle opzioni di sicurezza. In altre parole, disabilitare JavaScript e ActiveX non serve; al momento, l'unico rimedio possibile sembra essere modificare la chiave

del registry, portandone il valore da "1004" a "0x03".

Bene, anzi, male: il mese che Microsoft si è concessa per ricercare e correggere i problemi di sicurezza nel suo software è scaduto. Ci aspettiamo che, a breve, sia rilasciata una pacth cumulativa, la cui efficacia sarà valutata, ovviamente, in ragione del numero di problemi che verranno portati alla luce in seguito. Ci aspettiamo che essa venga tempestivamente spedita all'indirizzo di tutti i titolari di licenza d'uso di una qualsiasi versione di Windows, senza spese a loro carico, e che sia garantito loro tutto il necessario supporto all'installazione e alla risoluzione dei problemi che, a seguito di questa, potrebbero verificarsi. Ci aspettiamo che Microsoft voglia riconoscere ai suoi clienti un congruo indennizzo per il tempo perso e le eventuali interruzioni di servizio. Infine ci aspettiamo che nel progettare il software, per il futuro, Microsoft voglia finalmente attribuire alla tutela della privacy e della sicurezza dei suoi clienti tutta la dovuta importanza.

Ma ci aspettiamo anche, purtroppo, che si tratti di quattro ipotesi piuttosto improbabili.