Il nuovo bollettino di sicurezza Microsoft, giunto puntualmente a metà mese come da programma, porta in dote l’avviso di una falla molto grave in una componente Windows tale da compromettere la sicurezza del sistema con un exploit di semplice attuazione.
L’avviso MS04-028, infatti, segnala un errore nel codice del file Gdiplus.dll, componente utile alla gestione grafica del sistema operativo, e nella fattispecie il problema viene evidenziato nell’interpretazione delle immagini JPG. Ne consegue che un’immagine creata ad hoc per portare a segno l’attacco può facilmente raggiungere il proprio obiettivo semplicemente essendo depositata su un server e venendo caricata da Internet Explorer (è sufficiente un click su un invito che presumibilmente può giungere sotto varie forme tramite e-mail o instant messenger). Una scheda dettagliata è presente nella sezione Sicurezza.
Segue l’elenco dei prodotti Microsoft vulnerabili:
- Microsoft Windows XP e 64 Bit
- Microsoft Windows Server 2003 e 64 Bit
- Microsoft Office XP Service Pack 3 (tutti i programmi della suite)
- Microsoft Office 2003 (tutti i programmi della suite)
- Microsoft Project 2002 e 2003
- Microsoft Visio 2002 SP2 e 2003
- Microsoft Visual Studio .NET 2002 (tutti i programmi)
- Microsoft Visual Studio .NET 2003 (tutti i programmi)
- The Microsoft .NET Framework versione 1.0 SDK SP2
- Microsoft Picture It!® 2002
- Microsoft Greetings 2002
- Microsoft Picture It! versione 7.0 e 9
- Microsoft Digital Image Pro versione 7.0
- Microsoft Digital Image Pro versione 9
- Microsoft Digital Image Suite versione 9
- Microsoft Producer for Microsoft Office PowerPoint
- Microsoft Platform SDK Redistributable: GDI+
Ben più breve, invece, la lista dei software non vulnerabili: Office 2003 Service Pack 1, Visio 2003 Service Pack 1, Project 2003 Service Pack 1. Windows XP SP2 non risulta essere vulnerabile, ma il contemporaneo utilizzo di un altro software vulnerabile rende automaticamente in pericolo il sistema.
Nell’aggiornamento mensile di sicurezza viene altresì contemplato un ulteriore problema (definito “importante” dal bollettino MS04-027 e dunque di relativo minore impatto rispetto al problema inerente all’interpretazione dei JPG): la falla è emersa all’interno del componente WordPerfect 5.x Converter, e l’eventuale exploit della falla può portare al controllo esterno del sistema. Patch, come per il caso precedente, già disponibile sul sito ufficiale Microsoft.