ActiveX e QuickTime, falla vecchia fa buon brodo

L’esperto di sicurezza Ruben Santamarta ha individuato una nuova falla “zero-day” che prende di mira i sistemi operativi Windows. La falla parte da QuickTime di Apple ma ha come bersaglio gli utenti del browser Internet Explorer , passando attraverso il componente ActiveX del player multimediale di Cupertino. Il rischio è aumentato dal fatto che le misure di protezione aggiuntive di Windows Vista e Seven possono essere di fatto bypassate e rese inutili dallo sfruttamento della vulnerabilità.

Un eventuale attacco ideato per sfruttare la falla, avverte Santamarta, non deve far altro che invogliare l’utente a visitare – con Internet Explorer – un sito web appositamente predisposto. Il problema risiede nel codice presente nelle vecchie versioni di QuickTime, codice poi modificato da Apple ma non completamente e che spinge l’esperto a parlare di una vera e propria “backdoor” scientificamente predisposta da Cupertino, piuttosto che un più banale difetto nella programmazione del software.

Con codice adeguatamente realizzato è possibile costringere QuickTime ad accedere a DLL esterne, dice Santamarta, e il peggio è che le funzionalità avanzate di sicurezza implementate nelle versioni più recenti di Windows (Vista & 7) nulla possono contro la “backdoor” di Apple: né Data Execution Prevention (DEP) né Address Space Layout Randomisation (ASLR) riescono a bloccare l’attacco .

In attesa che Apple chiuda la sua backdoor, una buona pratica di prevenzione contro la falla zero-day prevede i soliti consigli di usare un browser diverso da IE e di disabilitare il controllo ActiveX di QuickTime settando l’apposito killbit .

Alfonso Maruccia