L'annuncio è di ieri: i componenti MDAC (Microsoft Data Access Components), che implementano funzioni per la connettività ai database in ambiente Windows, a causa di un buffer overflow localizzato nel componente RDS (Remote Data Services), utilizzato nell'ambito delle applicazioni web, mettono in pericolo la sicurezza del web server IIS e del browser Internet explorer. Risulta immune la piattaforma Windows XP, che utilizza per default la recente versione 2.7 dei Components.

Come comunemente avviene con i buffer overflow, chi sferri un attacco con successo può eseguire codice a piacere con i privilegi associati al programma vulnerabile: ciò è grave soprattutto nel caso di IIS, che viene eseguito con privilegi di sistema. Ma l'avviso parla chiaro: dal momento che Internet Explorer utilizza il componente RDS anche se l'intero pacchetto MDAC non è installato sulla macchina, la patch deve essere installata non solo sui server, ma anche su tutti i client sui quali il browser sia presente. Il che, tradotto alla luce della pervicace onnipresenza di Explorer, significa su tutte le macchine Windows ad eccezione, come accennato, di quelle equipaggiate con Windows XP. La patch è reperibile presso il sito Microsoft.

Ma attenzione: non è detto che installarla significhi mettersi definitivamente al sicuro. Se viene installato un service pack per i componenti MDAC successivamente alla patch, questa potrebbe essere posta "fuori gioco", lasciando l'utilizzatore nella beata illusione di essere al riparo da eventuali attacchi. Inoltre, dal momento che la patch in sé non verrebbe rimossa, un tentativo di reinstallazione della stessa mediante il servizio Windows Update sarebbe destinato al fallimento. Unica via d'uscita: la reinstallazione manuale.

E c'è dell'altro. La patch non può attivare il cosiddetto Kill Bit del componente ActiveX vulnerabile, al fine di impedirne l'esecuzione da parte di Explorer anche sa già presente nel sistema, perchè ciò rischierebbe di alterare il funzionamento dei molteplici servizi e applicazioni che lo richiamano. Infatti, trattandosi di un ActiveX certificato mediante firma digitale (di Microsoft), non può essere sostituito con una nuova versione da eseguire in luogo di quella inibita dal Kill Bit: tutto ciò che la patch può fare è apporre una pezza, nel senso quasi letterale del termine, all'originale. La conseguenza di tutto questo è che, in certe condizioni, l'attaccante potrebbe forzare Explorer a reinstallare la versione originale del componente, per poi portare a termine l'attacco.

Quali siano quelle certe condizioni non è dato sapere: nell'intento di non indicare ai cattivi la porta lasciata aperta, Microsoft non spiega ai suoi clienti quali siano le situazioni da tenere attentamente sotto controllo per evitare intrusioni. A quanto pare, ciascuno ha un proprio metodo di fare sicurezza: quello di Microsoft è noto da tempo.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: