Guarda un'immagine sul Web e t'infetti

E' sufficiente visitare i siti che sfruttano una particolare falla di Windows XP per essere infettati con ogni sorta di spyware.



[ZEUS News - www.zeusnews.it - 29-12-2005]

foto di George CruX

F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un'immagine nel formato WMF.

Al momento in cui scriviamo, Microsoft non ha ancora distribuito un aggiornamento (patch) che corregga la falla, che colpisce Windows XP anche se dotato di tutti gli aggiornamenti di sicurezza finora rilasciati. L'avviso ufficiale di Microsoft è disponibile presso Microsoft Technet (in inglese).

Numerosi siti (alcuni sono indicati nella pagina di F-Secure), specialmente quelli porno e dedicati ai programmi pirata, stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l'infezione trovata nel computer.

Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla.

La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito-trappola; chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un file WMF infetto tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare.

A quanto risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla.

Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente. Secondo F-Secure, l'infezione ha luogo persino se si scarica il file usando una finestra DOS (tramite per esempio Wget) e anche se il file infetto non ha l'estensione WMF nel nome ma è comunque scritto nel formato WMF.

Il problema nasce dalla natura particolare del formato WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un'immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili. Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla, è opportuno bloccare l'interpretazione delle immagini WMF.

Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.

La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).

Sans suggerisce inoltre di applicare la funzione DEP del Service Pack 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a un esperto di farlo per voi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 8)

{sax revolution}
Trusted computing Leggi tutto
9-5-2006 16:45

{Enzo}
20/01/2006Sono ora disponibili gli aggiornamenti alla pagina: "http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx"Grazie per la notizia, non fosse stato per voi non ne avrei saputo nulla.
20-1-2006 11:48

presente :ciao: sto studiando Linux :read: Leggi tutto
7-1-2006 13:21

Beh, Microsoft è stata abbastanza veloce. Però, nella stessa pagina, si legge Quindi la patch non è definita "critica", e per 98 e ME nulla. Sarebbe interessante sapere quanta gente usi ancora felicemente Windows 98 o ME e chiedere loro che cosa pensano di fare, visto che non sono considerati dall'aggiornamento. Leggi tutto
6-1-2006 23:17

Arrivata la patch di Microsoft: Microsoft Security Bulletin MS06-001 Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
6-1-2006 10:18

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Sei favorevole all'utilizzo dei tablet al posto dei libri di scuola?
Sì. L'iPad con i libri multimediali è una figata.
No. È una spesa in più a carico delle famiglie.
Sì. Salviamo gli alberi e inquiniamo con l'e-garbage.
No. I tablet hanno un'obsolescenza tecnologica che galoppa: dopo cinque anni, usati tutti i giorni, sarebbero completamente da buttare.
Sì. Cambia la forma ma non la sostanza e la qualità dell'insegnamento.
No. Gli studenti non imparerebbero più a prendere appunti su carta, a scrivere e a fare i conti a mente.
Sì, ma dalle scuole medie in avanti: alle elementari un bambino dovrebbe imparare a leggere su libri veri. Dovrebbe imparare a consultare l'indice in fondo al libro e a cercare dei documenti in una biblioteca vera e organizzarli, non a fare copia e incolla da internet.
No. Gli stessi docenti, in molti casi, non avrebbero la più pallida idea di come utilizzarli. Per non parlare del Ministero che dovrebbe decidere quali programmi si devono o non si devono usare.

Mostra i risultati (2508 voti)
Marzo 2020
Windows 10, l'aggiornamento causa problemi di connessione
La truffa della chiavetta Usb che arriva per posta
Windows 10, Pannello di Controllo verso la pensione
Windows 10, in un video un assaggio delle novità
Cellulari, app e privacy ai tempi della pandemia
Coronavirus Challenge, leccare una toilette per notorietà
Windows 10, patch di emergenza per evitare il nuovo WannaCry
L'open source contro il coronavirus
Windows 10, l'update KB4535996 mina le prestazioni
L'Unione Europea vuole un proprio sistema operativo
Addio, Dada.it
Febbraio 2020
Smartphone, la UE rivuole le batterie rimovibili
Il ransomware che prende di mira gli italiani
Il browser per navigare sempre in incognito
Equo compenso, raffica di aumenti per Pc, smartphone e schede Sd
Tutti gli Arretrati


web metrics