Cerca nel blog

2005/08/22

[IxT] Altra falla critica in Internet Explorer grazie ad ActiveX

Questa newsletter vi arriva grazie alle gentili donazioni di "grami", "stefanocob****" e "a.villa".

Visto che gli eventi dei giorni scorsi hanno dimostrato che ormai il tempo che passa fra l'annuncio di una falla informatica e l'attacco che la sfrutta è sempre più breve, c'è notevole preoccupazione per una falla di Internet Explorer annunciata dal CERT il 18 agosto scorso.

La falla consente di creare un sito ostile che, se visitato con Internet Explorer in condizioni abbastanza comuni, consente di prendere il controllo del computer del visitatore. Il CERT dice che sono già in circolazione le istruzioni e il codice per creare pagine ostili di questo tipo.

Tutto ruota intorno a un componente di Windows, la Microsoft DDS Library Shape Control COM object (msdds.dll). Questo componente non è normalmente installato in Windows, ma vi viene aggiunto da vari prodotti Microsoft, come alcune versioni di Office (XP e Pro 2003) e di Visual Studio .NET.

Per il momento non è disponibile un aggiornamento di sicurezza, ma Microsoft ha pubblicato una pagina informativa che indica in dettaglio quali versioni di Office e Visual Studio .Net possono installare il componente vulnerabile.

Per sapere se siete vulnerabili, il SANS Institute consiglia di cercare se avete installato nel vostro Windows un file di nome "msdds.dll" nella directory Program Files\Common Files\MicrosoftShared\MSDesigners7 (le versioni italiane di Windows hanno "Programmi" al posto di "Program files" e "File comuni" al posto di "Common Files"). Le versioni vulnerabili di "msdds.dll" sono la 7.0.9064.9112 e la 7.0.9446.0; le successive non hanno questa falla.

Se non avete questo file, non siete vulnerabili a questa magagna.

Se l'avete e volete turare la falla, potete disattivare Active X, smettere di usare Internet Explorer per navigare in Rete (sostituendolo per esempio con Opera o Firefox) e/o disattivare il componente "msdds.dll" seguendo le istruzioni pubblicate da zio Bill nella succitata pagina informativa. Alcuni antivirus, inoltre, potrebbero già rilevare eventuali pagine contenenti il codice molto specifico che attiva questa vulnerabilità. Il codice, fra l'altro, è una vecchia conoscenza, essendo basato sui CLSID che avevo descritto a suo tempo.

Ancora una volta, ActiveX e Internet Explorer si trovano al centro di una falla, confermando la validità di usare browser alternativi e di non usare ActiveX. Fra l'altro, questa vulnerabilità ricorda un po' due bufale di qualche tempo fa, quelle che chiedevano di controllare se avevate nel vostro Windows il file JDBGMGR.EXE (quello con l'icona dell'orsacchiotto) o il file SULFNBK.EXE, segnalati come pericolosissimi ma in realtà innocui componenti standard del sistema operativo Microsoft. Stavolta, invece, l'allarme è autentico e il componente non è standard, ma è pericoloso sul serio.

Ringrazio lopo e asepty per le correzioni fornite.

-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2005 by Paolo Attivissimo (www.attivissimo.net).
Distribuzione libera, purché sia inclusa la presente dicitura.

3 commenti:

Anonimo ha detto...

Una piccola aggiunta: nella pagina informativa di zio Bill ;) sono riportate come "pericolose" due versioni di msdds.dll, la 7.0.9064.9112 da te segnalata ed anche la 7.0.9446.0

Ciaooo

Anonimo ha detto...

Occhio al percorso: nella versione italiana non solo "Program Files" viene sostituito da "Programmi", ma anche "Common Files" diventa "File Comuni".

Paolo Attivissimo ha detto...

Sistemati entrambi gli errori, grazie!