A gennaio abbiamo parlato della scoperta di un “URL malevolo” che se cliccato o comunque gestito dal sistema operativo porta all’improvvista corruzione del file system NTFS con la successiva impossibilità di riavviare Windows: Windows 10 potrebbe non avviarsi più soltanto accedendo a una cartella.
Una patch ufficiale Microsoft ancora non esiste (vedere Bug Windows 10 che provoca problemi su file system NTFS: la soluzione temporanea) e Mozilla Firefox è il primo browser a implementare una soluzione definitiva.
Aggiornando a Firefox 85.0.1 il browser ignorerà completamente l’URL malevolo evitando che il sistema operativo possa andare “in panne”.
Anche perché caricando l’URL (in Windows 10 così come nelle precedenti versioni del sistema operativo) viene subito segnalato un problema sul file system. Riavviando la macchina viene avviata l’utilità chkdsk
che dopo una lunga attesa di solito riesce a risolvere il problema mentre in situazioni certamente più rare ma non infrequenti il sistema non riesce più ad avviarsi.
Esaminando il codice sorgente della nuova versione di Firefox si vede come il browser adesso eviti la gestione di qualunque indirizzo che contenga il prefisso :$
, utilizzabile per accedere a tutta una serie di attributi a livello di file system oltre che per sfruttare la vulnerabilità in questione.
Al momento Chrome, Chromium e tutti i browser derivati (Edge compreso) non hanno ancora implementato una simile misura di sicurezza. È invece probabile che Microsoft possa correggere il problema lato Windows già con il rilascio delle patch mensili di febbraio.