I soliti problemi di Windows (e le solite soluzioni)

“The gap between the best software engineering practice and the average practice is very wide — perhaps wider than in any other engineering discipline.”

— Fred Brooks

A poco più di un anno di distanza dalla scoperta dell’incredibile vulnerabilità legata alle immagini WMF il colosso di Redmond ci regala un’altra chicca per Windows 2000, XP, 2003 e (pure per) Vista. La gestione dei cursori animati (file .ani) in questi sistemi operativi è afflitta da una vulnerabilità “estremamente critica” (parola di Secunia*).

La vulnerabilità è causata da un errore non specificato nella gestione dei cursori animati.

Può essere sfruttata per eseguire codice arbitrario sulle macchine bersaglio.

In breve — è possibile creare file .ani farciti di codice; questo codice per colpa della falla verrà eseguito e BOOOM (avete presente le valigette della sesta stagione di 24?).

Per il momento non sono state proposte soluzioni ufficiali (avete presente la fine di Nikki e Paulo?).

eEye Digital Security propone un tapullo (come usiamo dire qui) — WindowsANIZeroDay… — per evitare il caricamento dei cursori fuori dalla %SystemRoot%. Dato che la storia sembra ripetersi prevedo che passerà un bel po’ di tempo prima dell’arrivo di una patch seria targata Microsoft…

riferimento ufficiale: Il sito della Microsoft (MSA 935423)

nvd.nist.gov: CVE-2007-1765 (Medium)

cose bizzarre: Cursor hackers target WoW players

estensioni memetiche: Microsoft is dead (di Paul Graham)

This entry was posted in Null. Bookmark the permalink.

Leave a Reply