Confermata la presenza di una falla di sicurezza nell’ultima versione di Opera così come nelle release precedenti. Opera 10.50 sembrava nato, nei giorni scorsi, sotto una buona stella. Grazie anche al varo, da parte di Microsoft, del cosiddetto “ballot screen” (la finestra, detta anche “choice screen”, per la scelta del browser da utilizzare di default), Opera aveva registrato un numero di download davvero incoraggiante: un interesse grosso modo triplicato rispetto a quanto avvenuto in passato.
Oggi però Opera sembra scivolare su una buccia di banana. Una falla di sicurezza, scoperta da Vupen Security nelle scorse ore, minaccerebbe il corretto funzionamento del browser. Un errore di buffer overflow potrebbe infatti verificarsi nel momento in cui l’utente dovesse visitare una pagina web “maligna” contenente intestazioni HTTP malformate. In questi frangenti, Opera 10.50 – così come qualunque altra precedente versione del prodotto – potrebbe andare inesorabilmente in crash.
Secondo quanto dichiarato dai norvegesi di Opera, tuttavia, sebbene il browser possa “crashare”, non dovrebbe verificarsi l’esecuzione di codice potenzialmente dannoso sul sistema dell’utente. Questa eventualità viene definita altamente improbabile se non impossibile. Vupen, di contro, aveva subito fatto riferimento ad un possibile sfruttamento, da parte di malintenzionati, per eseguire codice nocivo.
Thomas Ford, portavoce di Opera, ricorda come l’attivazione di DEP (il modulo Data Execution Prevention) a livello del sistema operativo, sia in grado di mitigare ogni rischio.
Bisogna comunque osservare che DEP non è sempre attivato di default. Per attivare DEP per tutte le applicazioni, in Windows XP SP2/SP3 è necessario accedere al Pannello di controllo, cliccare sull’icona Sistema, sulla scheda Avanzate, sul pulsante Impostazioni (riquadro Prestazioni), su Protezione esecuzione programmi ed infine su Attiva protezione esecuzione programmi per tutti i programmi e i servizi tranne quelli selezionati.
La procedura è sostanzialmente identica nel caso di Windows Vista e Windows 7: basta cliccare con il tasto destro del mouse sulla voce Computer (menù Start in basso a sinistra), su Proprietà, sul link Impostazioni di sistema avanzate ed infine sulla scheda Avanzate.
L’intervento consentirà di far sì che Windows eviti di eseguire codice caricato in memoria da parte di tutte le applicazioni di terze parti.
Opera ha comunque precisato che i programmatori della società si sono già attivati per sanare la vulnerabilità. A breve dovrebbe quindi essere distribuita pubblicamente una patch risolutiva.