Cerca nel blog

2010/03/05

IE + F1 = bug

Premere F1 per avere aiuto. Nell'infettarti il PC


Questo articolo vi arriva grazie alle gentili donazioni di "reemulit" e "federico.zu*".

Il tasto F1 è da tempo immemorabile sinonimo informatico di aiuto. O meglio, di un testo che dovrebbe in teoria aiutare spiegando come si usa il computer ma che in pratica di norma finisce per confondere l'utente.

Pazienza per la confusione, ma non per l'infezione: c'è un curioso baco di sicurezza nel VBScript che accompagna Internet Explorer. Consente di infettare un computer con Windows XP, 2000 o Server 2003 semplicemente inducendo la vittima a visitare un sito con Internet Explorer e a premere il tasto F1 in risposta a un messaggio sullo schermo. Ops.

Vista, Windows 7 e Windows Server 2008 sono immuni a questo difettuccio. Al momento non si ha notizia di attacchi concreti che sfruttano questa vulnerabilità, ma circola già qualche esempio dimostrativo.

Microsoft non è molto contenta della cosa, soprattutto per il modo in cui è stata annunciata la vulnerabilità: come scrive nel suo comunicato di avviso, non è stata seguita la prassi abituale corretta, ossia quella di tenere riservata la scoperta della falla e di avvisare con discrezione il produttore del software fallato, affinché predisponga la correzione prima che si sparga la voce. Ma ormai la voce, appunto, s'è sparsa, gli avvisi sono diventati pubblici, per cui i dettagli sono facilmente reperibili.

È probabilmente troppo tardi perché la correzione venga inclusa nella patch mensile di aggiornamento di Windows, per cui la raccomandazione fondamentale è, per chi usa Internet Explorer su Windows XP o 2000 o Server 2003, di navigare con prudenza in siti fidati e di fare attenzione a eventuali finestre di dialogo che dovessero chiedere di premere F1.

In attesa della correzione, varrebbe anche la pena di riflettere se sia ancora il caso di usare un sistema operativo che ormai comincia a mostrare il peso dei suoi nove anni. Anche perché continuerà ad essere preso di mira dagli attacchi, visto che resta attualmente il sistema operativo per PC più usato al mondo: circa il 58% del mercato lo adopera tuttora, secondo W3schools.

Nessun commento: