mercoledì 11 aprile 2007

Corretta con urgenza una grave falla che coinvolgeva anche Windows Vista


Con oltre una settimana di anticipo rispetto ai normali rilasci mensili, Microsoft ha rilasciato lo scorso 3 Aprile una patch che ha risolto una grave vulnerabilità di Windows. L'upgrade, relativo alla non corretta gestione da parte del sistema operativo dei cursori animati e dei file delle icone, doveva inizialmente essere diffuso attraverso il meccanismo automatico per il rilascio degli aggiornamenti, Microsoft Update, il 10 di Aprile.
A suscitare l'anticipo del rilascio non è stata però solo la grande pericolosità della falla che può essere sfruttata per prendere il controllo di un sistema attraverso la semplice visualizzazione di un e-mail o di un sito opportunamente contraffatto (circostanza che ha appunto costretto BigM a stringere i tempi di rilascio della patch), ma anche (e soprattutto) il fatto che si tratta della prima vulnerabilità remota che può essere utilizzata con successo contro una componente nativa del nuovo sistema operativo Windows Vista. Per quanto riguarda le altre versioni, sono comunque vulnerabili anche Windows XP, 2000 e 2003.
Per la sicurezza di Vista, l'accaduto rappresenta un elemento molto interessante alla luce delle numerose funzionalità di protezione che sono state integrate nelle ultime versioni dei sistemi operativi Microsoft.
Questo genere di errori di programmazione definiti stack overflow dovrebbero infatti essere rilevati dal controllo di sicurezza denominato /GS. Si tratta di un'opzione attivabile in fase di compilazione con la quale virtualmente tutti i dati di Vista sono stati protetti ma che è inclusa automaticamente solo in precise funzioni applicative che contengono certi tipi di strutture dati.
La funzione LoadAniIcon definita in USER32.DLL affetta dal problema non rientra, però in questo caso, pertanto la vulnerabilità su Vista poteva essere sfruttata con la stessa semplicità con la quale è possibile attaccare Windows 2000 (che non prevede in nessuna circostanza la protezione /GS). Windows Vista è però dotato di un sistema di protezione aggiuntivo denominato ASLR (Address Space Layer Randomization) che anche in questo caso può essere bypassato in quanto l'attacco ripetuto più volte non causa alcuna instabilità del sistema operativo.
Contemporaneamente con la notizia della nuova vulnerabilità, che arriva ad una settimana esatta da un recente rapporto pubblicato da Symantec sulla migliore sicurezza di Windows, Microsoft ha annunciato di aver modificato la licenza che detta le attuali modalità di utilizzo di Vista, migliorando alcuni dettagli.
Il nuovo sistema operativo può ora essere utilizzato anche nelle postazioni aziendali di tipo diskless, ovvero quelle che non sono dotate di disco fisso ed i cui dati vengono conservati in un server centralizzato o in un ambiente storage remoto. In aggiunta con l'introduzione della nuova licenza VECD (Windows Vista Enterprise Centralized Desktops), le aziende possono decidere di virtualizzare le istanze del sistema operativo su un server centralizzato ed accedervi mediante client Remote Desktop.
Quest'ultima licenza può però essere acquistata solo dagli utenti Enterprise abbonati al programma Software Assurance, mentre la prima è disponibile, sempre agli abbonati Software Assurance, in modo gratuito. Il responsabile Microsoft dell'area Windows Business Group, Scott Woodgate, ha, però dichiarato in una recente intervista che, in futuro, entrambe le licenze potranno essere fruite anche dai tradizionali utenti aziendali di Vista.