Scoperte vulnerabilità di sicurezza in molteplici controlli ActiveX: come difendersi

L’Internet Storm Center (ISC) di SANS e lo US-CERT segnalano la scoperta di una serie di vulnerabilità di sicurezza, molto pericolose, in moteplici controlli ActiveX sviluppati da diversi produttori (Aurigma ImageUploader, Facebook PhotoUploader, Yahoo! Media Grid, Yahoo! Data Grid e MySpace Uploader) che consentono il caricamento online e la gestione di contenuti attraverso il browser.
Poiché l’utilizzo di questi controlli ActiveX è estremamente diffuso, sia Symantec che Secunia hanno immediatamente allertato gli utenti. Sebbene, almeno per il momento, non sembrano siano iniziati a circolare in Rete codici maligni in grado di sfruttare le varie vulnerabilità di sicurezza, coloro che corrono i rischi maggiori sono gli utenti di Internet Explorer e browser derivati poiché sono solamente i prodotti basati sul motore sviluppato da Microsoft a supportare la tecnologia ActiveX.
Secondo quanto riportato, le vulnerabilità insite nei vari controlli, potrebbero essere sfruttate per eseguire codice dannoso sul sistema dell’utente, semplicemente invitandolo a visitare una pagina web “maligna”.
Sia Facebook che MySpace hanno immediatamente rilasciato delle versioni aggiornate dei controlli ActiveX, esenti dalla vulnerabilità. Negli altri casi, gli utenti che utilizzando Internet Explorer per “navigare” in Rete è bene impostino il cosiddetto “kill bit” all’interno del registro di sistema.
Si tratta di una funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, è possibile introdurre, nel registro di Windows, un apposito valore noto, appunto, come “kill bit”. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene introdotto o reintrodotto un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, innocuo.
L’Internet Storm Center ha pubblicato sul suo sito web un piccolo programma che consente di verificare la presenza dei controlli ActiveX vulnerabili ed impostare il “kill bit” attraverso una comoda interfaccia grafica.
Prima di installare le versioni esenti dalla vulnerabilità, via a via rilasciate dai produttori, sarà bene disabilitare il “kill bit” disattivando le varie caselle. Il programma è scaricabile cliccando qui.