L’aggiornamento non era stato inserito nel “patch day” dello scorso mese ma questa volta sarà sicuramente presente. I tecnici di Microsoft hanno infatti risolto una pericolosa vulnerabilità presente nel componente di sistema GDI+ in grado di gestire, tra gli altri, anche la visualizzazione dei file memorizzati in formato TIFF.
Sfruttando tale lacuna di sicurezza, gli aggressori sono in grado di scavalcare tutte le linee di difesa poste da Windows come DEP ed ASLR (vedere, a tal proposito, il nostro articolo Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit).
La vulnerabilità, che sarà finalmente risolta martedì prossimo, riguarda Windows Vista e Windows Server 2008 nonché Office 2003, Office 2007 ed Office 2010, se eseguito su piattaforma Windows XP o Windows Server 2003.
In attesa del rilascio di un aggiornamento definitivo, Microsoft aveva reso disponibile – attraverso il suo sito web – un “fix” temporaneo (Vulnerabilità nelle vecchie versioni di Office e in Vista) che però, evidentemente, trattandosi di una risorsa non distribuita attraverso Windows Update, è assai probabile che non sia stata installata da parte di un vasto numero di utenti.
L’assenza dell’aggiornamento, sui sistemi vulnerabili, costituisce un problema perché espone a concreti rischi di attacco. Un aggressore potrebbe infatti indurre l’utente a memorizzare un file TIFF confezionato “ad arte” per far leva sulla vulnerabilità oppure esortare all’apertura di un documento Office contenente riferimenti ad un TIFF altrettanto maligno.