Non ho mai usato Outlook, ed è male per chi si occupa di divulgazione tecnologica. È un bene però per i miei dati e la salute del mio computer. Microsoft ha rilasciato ieri due nuovi bollettini di sicurezza, di cui uno riguarda un bug di Outlook ed Exchange che può far installare spyware, virus e codice nocivo con un semplice messaggio di posta elettronica. Non è però questo il punto: sono diverse le vulnerabilità di Windows sfruttabili semplicemente mandando una e-mail e visualizzandola in Outlook. La "novità " è un'altra.
La novità è che quest'ultima vulnerabilità sfrutta un formato con cui Outlook ed Exchange gestiscono un particolare tipo di allegati di posta elettronica. Il formato si chiama Transport Neutral Encapsulation Format (Tnef), viene utilizzato per inviare messaggi nel formato Microsoft Outlook Rich Text Format e si materializza come un allegato chiamato winmail.dat, visualizzato e interpretato solo dal programma Microsoft. È un classico formato proprietario, sviluppato da Redmond nel suo tentativo di deviare il Web verso formati non standard, appositamente creati da Microsoft per software Microsoft.
Bene, il problema è che questi allegati sono delle vere e proprie bombe ad orologeria. Con il proposito di creare messaggi di posta elettronica graziosi, ben formattati con faccine e colori e, naturalmente, non standard, un file inviato con questo formato può contenere, oltre alla formattazione del messaggio testuale, oggetti Ole (Object Linking and Embedding), ossia oggetti incorporabili in altre applicazioni, funzioni specifiche di Outlook, come i moduli personali, e altre tipologie di allegati. Non bastava l'HTML, serviva il Microsoft Outlook Rich Text Format.
E c'è anche dell'altro. Leggendo la voce di Wikipedia e il documento tecnico di Microsoft vengo anche a sapere che i messaggi formattati in questo modo contengono, nel file winmail.dat, nientemeno che il percorso di sistema in cui vengono conservati i file .pst, ossia i file che contengono le e-mail e i contatti di Outlook, e il nome di login dell'utente.
Non c'è da sorridere. È la classica fenomenologia dei peggiori bug di Microsoft: si utilizzano delle funzioni non standard per rendere più attraente, e proprietaria, la navigazione in Internet e contemporaneamente si creano le basi per una possibile infezione di massa. Di massa, certo: il bug funziona anche sui Server Exchange. Basta solo far transitare i messaggi su un server di posta elettronica gestito da Exchange per bucare l'intero server.