«Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution»: è questo il titolo del Microsoft Security Advisory (927892) concernente una nuova vulnerabilità scoperta in Microsoft Windows. Ancora una volta il rischio è costituito dalla contemporanea e parallela presenza di due condizioni quali la presenza di un exploit in grado di colpire la falla e la mancata disponibilità di una patch in grado di risolvere il problema.
Secondo quanto descritto da Microsoft il bug è insito nel controllo ActiveX XMLHTTP 4.0 e possono scampare al pericolo al momento solo gli utenti utilizzanti Windows Server 2003. Secunia non esita ad innalzare fin da subito al massimo grado di pericolosità il proprio giudizio (SA22687) sul problema: «extremely critical», basta la visita su un sito web per colpire il bug ed eseguire codice arbitrario sulla macchina.
Microsoft spiega che rilascerà un aggiornamento durante il primo appuntamento in cui sarà disponibile una patch di sufficiente qualità oppure, in caso di urgenza, l’aggiornamento potrebbe avvenire eccezionalmente anche al di fuori della cadenza consueta del secondo martedì del mese. Il prossimo aggiornamento è atteso per il 14 Novembre e solo pochi giorni prima si potranno avere indicazioni aggiuntive circa le intenzioni di Microsoft in proposito.
Il bollettino Microsoft suggerisce una serie di palliativi da attuare al fine di arginare temporaneamente il rischio. Exploit suggerisce invece di «impedire al motore di rendering HTML di Internet Explorer il caricamento del controllo ActiveX impostando un valoree DWORD, noto come Kill Bit, nel registro di sistema». Il file .reg alternativo proposto è disponibile online.
Microsoft chiede infine la collaborazione degli utenti: se un qualche attacco dovesse essere identificato, una provvidenziale segnalazione all’Internet Fraud Complaint Center potrebbe aiutare il gruppo a tenere sotto controllo il problema intervenendo eventualmente con urgenza se l’attacco dovesse divenire massivo.