Microsoft ha pubblicato ieri il Security Advisory 943521, dedicato ad una vulnerabilità isolata nella gestione degli URI in Windows XP SP2 e Windows 2003 SP1/SP2 in presenza di Internet Explorer 7. Microsoft afferma che Windows Vista non è vulnerabile al problema di sicurezza. Inoltre l'azienda non è a conoscenza di attuali tentativi di attacco "in-the-wild" che sfruttano la vulnerabilità. Jonathan Ness dello SWI Team di Microsoft ha pubblicato un lungo intervento sul blog ufficiale del Microsoft Security Response Center (MSRC) per offrire chiarezza ed ulteriori dettagli riguardo la vulnerabilità, che sembra legata a problemi discussi già nei mesi scorsi, e che avevano coinvolto Firefox e Adobe Acrobat.

 Firefox: Falla 'firefoxurl' via IE  -  Altre 

Dal MSRC Blog: "Come probabilmente avete notato si è discusso molto su questo problema recentemente. Una delle ragioni per le quali abbiamo rilasciato questo Advisory è legata all'aumentato rischio che questa falla possa essere utilizzata per attacchi. Un'altra ragione è quella di fare chiarezza sul problema degli URI descritto in questo Advisory e sul problema della gestione dei protocolli che è stato documentato a Luglio scorso sul Blog del IE Team. Il motivo finale è che effettivamente abbiamo contribuito noi stessi a fare confusione offrendo un set non corretto di 'talking points' a Heise Security.

A Giugno scorso, sono state discusse pubblicamente un serie di problematiche che coinvolgevano potenziali vulnerabilità nella gestione dei protocolli da parte delle applicazioni 3rd party. Sebbene avessimo l'opportunità di effettuare modifiche ad alcune API di Windows per bloccare questi attacchi, fare questo avrebbe causato il malfunzionamento delle applicazioni 3rd party che si affidano al funzionamento di questi gestori di protocollo. Quindi, raccomandiamo che i proprietari delle applicazioni correggano autonomamente i potenziali problemi, dato che conoscono il loro codice meglio di tutti. Per esempio, gli autori di applicazioni di gestione protocollo devono prestare particolare attenzione alla verifica di ogni argomento che viene passato alla linea di comando. Il team IE aveva pubblicato un ottimo intervento sul processo di validazione e su coloro che ne sono responsabili.

A fine Luglio, un altro simile problema è stato discusso pubblicamente e riguardava mailto: e le applicazioni 3rd party. Questa è la vulnerabilità descritta nel nuovo Advisory rilasciato oggi e si tratta di un bug nella gestione delle URI da parte di Windows. Non si tratta di un vulnerabilità presente in un gestore di protocollo specifico, anche se mailto: viene utilizzato come esempio. Gli esempi che abbiamo visto finora coinvolgono il gestore di protocollo mailto: a cui viene richiesto di gestire URI contenenti '%' (segno percentuale). Quando un utente clicca su una URL, l'applicazione che mostra il link decide come questo debba essere gestito. Per i protocolli 'tradizionalmente' sicuri come mailto: o http: le applicazioni spesso effettuano solo la verifica del prefisso e poi scelgono di chiamare la funzione Windows shell32 ShellExecute() per gestirli. Così è stato per molti anni.

Con IE6 installato, ShellExecute() passa l'URI a IE che lo accetta e al suo interno determina se non è valido. La navigazione quindi non procede senza altri problemi. Con Internet Explorer 7 installato, il processo è abbastanza diverso. IE7 ha iniziato ad effettuare una maggiore verifica preliminare per respingere gli URI malformati. Quando questo URI malformato con un segno '%' viene respinto da IE7, ShellExecute() tenta di correggere l'URI in modo che possa essere utilizzato. Durante questo procedimento, l'URI non viene gestito in maniera sicura. IE7 respinge l'URI, e Windows Vista ShellExecute() intelligentemente respinge l'URI. Questo non accade sulle versioni più vecchie di Windows come XP e Server 2003 quando IE7 è installato. Da quando abbiamo iniziato a indagare a Luglio, si è discusso molto sul potenziale utilizzo di questo problema per attacchi. Quindi per aiutare a sciogliere la confusione generale tra le due problematiche, abbiamo reso disponibile il Security Advisory 94351".

Microsoft sta attualmente lavorando alla realizzazione di aggiornamento di sicurezza per risolvere la vulnerabilità e rendere il codice di gestione URI di ShellExecute() più restrittivo. Il colosso sta anche lavorando ad un articolo KB che aiuterà gli autori di applicazioni third-party ha realizzare autonomamente un processo di verifica adeguato per gli URI che vengono passati a ShellExecute().