Redmond allerta dell'esistenza di una vulnerabilità nell'engine di rendering di un buon numero di versioni di Windows. Per il momento niente patch, c'è il workaround.
Una nuova falla è stata scoperta all'interno dell'engine di rendering presente sulle versioni meno recenti dell'OS di Microsoft. Da Redmond consigliano prudenza e offrono una soluzione tampone in attesa di un patch risolutiva che pare non verrà rilasciata tanto presto.
L'advisory distribuito da Microsoft individua il problema all'interno del componente "Graphics Rendering Engine" di Windows, parlando di "una falla di esecuzione codice da remoto" che, se opportunamente sfruttata da un malintenzionato, potrebbe garantire il controllo completo del sistema preso di mira. La falla rappresenta una minaccia concreta vista l'esistenza di codice "in the wild" in grado di servirsene.
La falla nasce dalla modalità di gestione delle anteprime da parte del GRE di cui sopra, dice Microsoft, ed è sfruttabile impostando "il numero degli indici di colori nella tabella dei colori su un numero negativo". A quel punto il cracker può lanciare codice remoto come se fosse un utente loggato sul sistema, con l'unica limitazione - più volte sottolineata da Redmond - di non poter andare oltre le possibilità operative di account utente limitati e non di tipo "administrator".
Le versioni più recenti di Windows (Windows 7 e Windows Server 2008 R2) sono immuni dal problema, mentre gli utenti di Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 SP dovrebbero preoccuparsi. Per mettere una pezza (temporanea) alla falla, Microsoft consiglia di rinforzare le restrizioni del componente Access Control List e fornisce opportune istruzioni in merito.
E per quanto riguarda la prevedibile (e a questo punto auspicabile) patch ufficiale? Angela Gunn, responsabile delle comunicazioni della divisione Trustworthy Computing di Microsoft, sostiene che gli ingegneri di Redmond sono al lavoro ma che ben difficilmente si assisterà a una distribuzione extra al di fuori della gragnola dei tradizionali bollettini di sicurezza del secondo martedì del mese.
Fonte: punto-informatico.it
|