Una vulnerabilità scoperta in un controllo ActiveX che, sebbene sia di fatto inutilizzato, risulta ancora accessibile da parte di Internet Explorer, può essere sfruttata per eseguire codice potenzialmente dannoso. Sono queste le conclusioni a cui è pervenuta Microsoft dopo le segnalazioni ricevute da diversi esperti di sicurezza.
Come spiega l'”Internet Storm Center” di SANS su alcuni siti web cinesi, sviluppati con lo scopo di far danni, è già comparso il codice exploit in grado di far leva sul controllo “Microsoft Video ActiveX” vulnerabile. Obiettivo quello di sferrare attacchi “drive-by” per indurre il browser a scaricare malware in modo automatico.
Secondo Chengyun Chu, ingegnere Microsoft, sarebbe necessario un intervento da parte dell’utente affinché il codice maligno vada in esecuzione. Nello specifico, l’utente deve cliccare su un link che apra il sito web ospitante il codice dannoso.
Al momento non è disponibile una patch a correzione del problema. Microsoft raccomanda agli utenti di eliminare il supporto di Internet Explorer per l’ActiveX vulnerabile.
Affetti dal problema sono i sistemi Windows XP e Windows Server 2003. In questa pagina il colosso di Redmond ha messo a disposizione due strumenti che consentono di mettersi al riparo da eventuali problemi in attesa che vanga rilasciato un aggiornamento di sicurezza. Il primo pulsante “Fix it” consente di attivare la misura di difesa temporanea mentre il secondo (“disattivare soluzione“) permette di annullare gli interventi apportati sul sistema.
Gli utenti più esperti possono mettersi al riparo adottando un approccio più complesso ma egualmente efficace. La procedura consiste nell’aprire l’Editor del registro di sistema, portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoft Internet ExplorerActiveX Compatibility
ed individuare ciascuno dei 45 CLSID elencati da Microsoft nella sezione Suggested actions, Workarounds di questa pagina. Per ciascun CLSID rilevato, si dovrà creare – nel pannello di destra – un nuovo valore DWORD Compatibility Flags (nel caso in cui non esista già) ed impostarlo a 400 (Dati valore) in esadecimale.
In questo modo si imposterà il cosiddetto “kill bit” che impedirà il caricamento e l’utilizzo dell’ActiveX vulnerabile da parte di Internet Explorer.
Non è detto che i CLSID riportati da Microsoft siano presenti nella chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoft Internet ExplorerActiveX Compatibility
sul proprio sistema. E’ questa la situazione migliore: in tal caso non si correrà alcun rischio.