Applicare subito la patch, questo il consiglio di un preoccupato Stephen Toulouse, Security Executive Microsoft. “Una delle più gravi falli mai venuti a galla“, così Marc Maiffret, responsabile di eEye (ove la falla è stata scoperta). Allarme rosso dunque per tutti gli utenti Windows in possesso di una delle seguenti versioni del sistema operativo:
- Windows NT 4.0 (Server e Workstation)
- Windows 2000
- Windows XP
- Windows Server 2003
Da Microsoft arriva segnalazione di tre falle in totale. I mali minori riguardano le due falle “importanti”, una concernente Windows Internet Naming Service e l’altra riguardante Microsoft’s Virtual PC per piattaforme Mac. Ma le sirene d’allarme suonano tutte per la falla critica, falla in grado di causare problemi del tutto similari all’epidemia Blast il cui ricordo è tuttora fresco in casa Microsoft.
Tecnicamente il problema è stato identificato nella libreria ASN.1 (MSASN1.DLL): un attacco mirato può sfruttare la falla per l’esecuzione di codice arbitrario andando ad incidere su applicazioni adoperanti le certificazioni (partendo da ActiveX fino alle firme digitali allegate ai messaggi di posta elettronica). Il tutto è aggravato dall’estrema facilità con cui, tramite questa falla, risulterebbe l’accesso a network locali.
Microsoft ha attualmente messo a disposizione la patch risolutiva, ma sorge comunque la polemica: Marc Maiffret responsabile eEye, punta il dito contro Microsoft accusando l’ingente ritardo con cui la patch è stata rilasciata. «It is obviously ridiculous […] just totally unacceptable»: secondo Maiffret è “totalmente ridicolo” e “semplicemente inaccettabile” un lasso di tempo lungo 8 mesi tra la segnalazione eEye e il rilascio della patch in quanto per 200 giorni gli utenti sono stati ignaramente in balìa del pericolo proveniente da un possibile exploit.
Polemiche sulla “monocultura” a parte, urge al momento da parte degli utenti Windows particolare attenzione per un immediato intervento sul proprio sistema operativo. Per il download della patch e per maggiori informazioni circa le modalità di intervento è disponibile la scheda tecnica su SICUREZZA.HTML.it.