Microsoft ha pubblicato un nuovo Security Advisory (943521) nel quale illustra la nota vulnerabilità di Windows XP/Server 2003 nella gestione degli URI in concomitanza con l’installazione di Internet Explorer 7. In attesa di una patch correttiva, il documento suggerisce di proteggere il proprio Pc in maniera adeguata e di mantenere Windows sempre aggiornato.
La vulnerabilità è venuta a galla nel corso del mese di luglio quando il ricercatore di sicurezza Thor Larholm ha mostrato come Firefox non controlli la validità di eventuali parametri passati attraverso l’URI di tipo FirefoxURL, rendendo così possibile l’esecuzione di codice arbitrario attraverso il browser. Ulteriori ricerche hanno dimostrato come tale debolezza riguardi altresì molti altri prodotti quali Outlook Express, Adobe Reader e Skype (il quale è stato recentemente corretto da questo punto di vista). Difficile quindi attribuire la responsabilità del problema in maniera univoca: da un lato alcuni ricercatori hanno identificato in Windows uno scarso controllo della validità dei link, dall’altro Microsoft ha sempre puntato il dito contro i programmatori, rei di non inserire un accurato controllo degli URI all’interno dei software da loro creati.
Ora il colosso di Redmond ammette le sue colpe e dichiara apertamente come l’installazione di Internet Explorer 7 modifichi il trattamenti degli URI da parte di Windows: con le versioni precedenti, se un indirizzo era malformato o invalido, l’operazione veniva annullata e il processo falliva, mentre in seguito alla installazione della versione 7 un URI malformato viene automaticamente “ripulito” e mandato comunque in esecuzione. La vulnerabilità non riguarda Windows Vista in quanto alcuni componenti di sicurezza impediscono l’esecuzione degli script URI.
Microsoft rilascerà una patch correttiva del problema (non sono state ancora rilasciate informazioni sulla sua data di uscita) e fornirà il suo aiuto ai programmatori per aggiungere validazioni addizionali all’interno dei software da loro prodotti.