Scenario: una conferenza “hacker” tenutasi a San Diego, in California. Qui, sotto gli occhi di un membro di Mozilla Foundation, Mischa Spiegelmock e Andrew Wbeelsoi hanno analizzato Firefox nel dettaglio spiegando come il codice di programmazione che governa il “motore” responsabile della gestione del linguaggio Javascript sia talmente disordinato da renderne pressoché impossibile la correzione. Dichiarando di essere a conoscenza di 30 falle di sicurezza non ancora sistemate nel browser opensource, i due ricercatori hanno mostrato, al pubblico presente, i punti basilari del codice exploit in grado di sfruttare una pericolosa falla di sicurezza Javascript presente in Mozilla Firefox.
Alla Foundation sono subito saltati sulla sedia con una reazione duplice. In primo luogo si usa cautela osservando come la vulnerabilità descritta alla conferenza di San Diego potrebbe essere una variante di qualcosa di già conosciuto. D’altra parte si condanna simili comportamenti che mettono potenzialmente a rischio tutti gli utenti del software: la pubblicizzazione di una falla di sicurezza riportando i dettagli tecnici utili per sfruttarla può condurre alla repentina diffusione di codice nocivo su larga scala.
Nel frattempo, anche Microsoft è alle prese con la risoluzione di alcuni gravi problematiche di sicurezza relative ad Internet Explorer. Dopo quella collegata con il file daxctle.ocx (Windows Multimedia Controls) scoperta a metà Settembre e la “falla-VML”, individuata e risolta pochi giorni dopo mediante il rilascio di un’apposita patch ufficiale, è allarme per una grave “lacuna” presente nella shell di Windows e, in particolare, nella libreria webvw.dll che fa capo al controllo ActiveX “WebViewFolderIcon”.
Visitando una pagina web “maligna”, contenente il codice in grado di far leva sulla vulnerabilità, l’utente può vedere il proprio sistema divenire facile preda di aggressori remoti. Sul web è già purtroppo ampiamente diffuso il codice exploit in grado di far danni: il nuovo problema di sicurezza assume quindi un profilo ancor più pericoloso.
Nell’attesa del rilascio di una patch ufficiale, Microsoft consiglia (ved. questa analisi) di disattivare temporaneamente l’esecuzione di controlli ActiveX oppure di inserire nel registro di sistema il cosiddetto “kill bit” che impedisce l’uso del controllo vulnerabile.
Nel frattempo, molte aziende attive nel campo della sicurezza informatica – tra le quali anche eEye -, hanno sviluppato e rilasciato patch non ufficiali per la risoluzione temporanea del problema.