Rattoppi e buchi un po' per tutti, occhio ai PDF
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
È un periodo intenso di vulnerabilità e di rattoppi generali. Firefox è uscito da poco con la versione 3.0.7, che sistema cinque falle, tre delle quali erano classificate come critiche, e corregge alcuni problemi di stabilità e di gestione della memoria. I dettagli sono descritti qui sul sito ufficiale. L'aggiornamento è di norma automatico.
Anche Thunderbird, il popolare programma di posta, si rattoppa perché condivide parte del proprio codice con Firefox: i suoi utenti possono rimediare usando l'aggiornamento alla versione 2.0.0.21, per ora disponibile solo tramite scaricamento manuale ma prossimamente disponibile anch'esso in automatico.
Tornando ai browser alternativi, anche chi usa Opera si deve aggiornare, alla versione 9.64, perché il browser aveva una falla che permetteva a un'immagine JPEG appositamente confezionata di mandarlo in crash, spianando la strada agli aggressori.
In casa Microsoft ci si prepara invece al consueto aggiornamento mensile, il patch Tuesday, che stavolta prevede correzioni per Windows 2000, XP e Vista, nonché Server 2003 e 2008, per via di falle che Microsoft definisce in un caso "critiche", perché consentono l'esecuzione remota (ossia permettono a un aggressore di prendere il controllo del PC della vittima). Resta aperta la falla di Microsoft Excel che permette la stessa presa di controllo tramite un file Excel ostile.
Allegati a rischio anche per chi usa il formato PDF, e in un modo particolarmente insidioso e per ora non riparabile: Adobe Acrobat e Reader hanno una falla che sotto Windows permette di infettarsi anche senza aprire il documento infetto: è sufficiente lasciare il mouse qualche istante sopra l'icona del file PDF ostile oppure selezionarlo. La patch di correzione sarà pronta intorno all'11 marzo, secondo Adobe. Nel blog di Didier Stevens c'è un video con annotazioni tecniche che spiegano il meccanismo di azione di un esempio di PDF ostile che sfrutta questa vulnerabilità.
Nessun commento:
Posta un commento