Windows XP? Occhio al tasto F1

Nelle versioni meno recenti di Windows, tra cui XP, si cela una vulnerabilità sfruttabile via Web per ottenere il controllo di un PC. Un possibile attacco prevede che l'utente prema il tasto F1

Roma – Gli utenti di Windows 2000, XP e 2003 farebbero bene a non premere il tasto F1 se gli viene richiesto da un sito web. Come spiega Microsoft in questo advisory , c’è infatti il rischio che dietro a tale richiesta si celi un attacco mirato ad ottenere il controllo del PC.

La falla di cui dà avviso Microsoft è stata resa pubblica lo scorso venerdì da iSEC Security Research, che in questo advisory fornisce anche il link ad un exploit dimostrativo: l’exploit visualizza un messaggio popup nel browser che invita l’utente a premere il tasto F1. Se l’utente di una versione vulnerabile di Windows cade nel tranello, è possibile eseguire del codice maligno con gli stessi privilegi dell’utente locale.

Perché l’attacco funzioni, l’utente deve usare una versione di Internet Explorer compresa tra la 6 e la 8 con VBScript attivato. IE è però soltanto il vettore di attacco: la debolezza trae origine dal modo in cui VBScript interagisce con i file Windows Help (.hlp). “Passando un file HLP maligno a winhlp32.exe è possibile per un aggressore remoto di eseguire comandi a sua scelta”, si legge nell’advisory di iSEC.

Microsoft rimarca il fatto che le più recenti versioni di Windows – Vista, 2008 e 7 – non sono interessate dal problema. Inoltre l’azienda afferma di non essere a conoscenza di attacchi che sfruttino tale bug.

In attesa del rilascio di una patch, Microsoft raccomanda ai propri utenti di non premere il tasto F1 se richiesto da un messaggio popup e di disattivare controlli ActiveX e Active Scripting in IE. In alternativa è anche possibile cambiare i permessi di winhlp32.exe seguendo le istruzioni fornite nell’advisory ufficiale.

Per approfondimenti è possibile consultare i link forniti in questo post di Feliciano Intini, security and privacy initiative lead di Microsoft Italia.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • larala scrive:
    se un brevetto e' giusto..
    il brevetto e' protezionismo, fa pagare di piu le merci che potrebbero costare meno, percio' simpatico non e' mai. si concede per promuovere gli investimenti nella produzione di idee, non e' un diritto delle idee. E' discutibile se questo obiettivo venga raggiunto, spesso si brevettano cose che sono solo la diretta evoluzione della tecnologia e favorire chi lo fa per primo serve solo a produrre spazzatura e sprecoma la politica e il contributo di google sull'innovazione e' tale che se c''e uno che puo meritare dei brevetti..
  • rb1205 scrive:
    Incontri nella tua città!
    Se questa era una tecnologia brevettata, devo quindi concludere che tutti quei banner di siti di incontri che mostrano donne giovanissime e disponibilissime a 15 km da casa mia siano veri!
    • RzzNdr scrive:
      Re: Incontri nella tua città!
      Dal quel che ne so io, gli annunci delle ragazze in cui esce scritto il nome della tua città non appartengono a Google AdSense ma a circuiti "hot" o "hard" di altre società...
Chiudi i commenti