Una nuova vulnerabilità affligge chi utilizza Internet Explorer 6 su macchine non protette dal Service Pack 2 di Windows XP, compresi sistemi Windows 2000.
La vulnerabilità, segnalata alla mailing list Bugtraq sin dal 24 ottobre, coinvolge la libreria SHDOCVW.DLL, una delle componenti più importanti di Internet Explorer. Tra le altre funzioni, la libreria viene incaricata di elaborare i contenuti degli IFRAME.
Utilizzando una pagina Web con del codice HTML scritto ad arte per sfruttare la vulnerabilità è possibile indurre un Tecniche: Buffer Overflow all'interno della libreria SHDOCVW.DLL, con il conseguente blocco dell'applicazione e la possibilità di eseguire codice nocivo sulla macchina dell'utente. Ciò significa che qualsiasi pagina Web contenente il codice nocivo, divulgato sin da Venerdì su diverse mailign list e dunque ampiamente noto, potrebbe installare qualsiasi tipo di programma sul computer dell'utente, compresi trojan e virus.
Microsoft, che ha previsto per oggi la divulgazione del bollettino di sicurezza di Novembre, non ha divulgato e non divulgherà a breve una patch per risolvere il problema. I tempi di analisi e di test della soluzione sono troppo brevi e la catena di rilascio di Microsoft prevede più passaggi e tempi più lunghi. A ciò si aggiunge il fatto che, sempre secondo Microsoft, l'azienda non è stata avvertita prima della divulgazione al pubblico dell'errore, come buon senso e pratica comune vorrebbero.
Ciò ha aperto ai pirati informatici spiragli di utilizzo della vulnerabilità. Già nella giornata di ieri tutte le case produttrici di antivirus avevano rilasciato aggiornamenti per la comparsa di due Worm, chiamati da Symantec W32.Mydoom.AI@mm e W32.Mydoom.AH@mm, che sfruttano la vulnerabilità IFRAME per installarsi sul computer dell'utente.
Il procedimento di propagazione è molto simile ad altri già visti: visualizzando la pagina contenente il codice nocivo, il sistema viene "obbligato" a scaricare da altri computer infettati il worm che, dopo essere eseguito sulla macchina aggredita, si propaga inviando e-mail con allegati formattati ad arte per autoreplicarsi.
L'appartenenza dei due worm alla famiglia di Mydoom è stata però sconfessata da alcuni analisti e case antivirus. Secondo F-Secure, ad esempio, il virus che tuttora sfrutta la vulnerabilità dell'IFRAME ha solo il 49 per cento di similitudine con i vecchi Mydoom e dunque potrebbe essere stato scritto anche da persone distinte. F-Secure lo giudica «uno dei più veloci ad aver sfruttato una vulnerabilità di sicurezza».
Resta che il fatto che il worm è pericoloso. Per prevenire l'infezione è necessario fare attenzione agli allegati scaricati, installare il Service Pack 2 per chi ha Windows XP, controllare l'aggiornamento del proprio antivirus. Ad oggi tutte le case antivirus hanno rilasciato aggiornamenti in grado di intercettare la nuova vulnerabilità.
