QR code per la pagina originale

Stampella open source per Internet Explorer

A sorpresa arriva una stampella open source per Microsoft Internet Explorer: prima che da Redmond si riesca a risolvere il bug scoperto pochi giorni fa sull'uso dei caratteri "%00" e @ negli url, ecco arrivare una soluzione open dal gruppo openwares.org

,

Un favore per gli utenti in pericolo, un grosso colpo all’orgoglio Microsoft: arriva infatti dal mondo open source la patch per risolvere l’ultima falla riscontrata in Internet Explorer (versioni dalla 5.01) e riguardante i cosiddetti Fully Qualified Domain Name (FQDN).

La falla fu segnalata da Secunia e segnalava la possibilità che qualche malintenzionato potesse sfruttare url contenenti caratteri quali “%00” o “@” per creare simulazioni truffaldine di siti. Ad esempio, un link formattato in questo modo http://www.microsoft.com%00@webnews.it/ visualizza su Explorer, sia sulla barra di stato in basso sia sulla barra degli indirizzi una volta cliccato, il link www.microsoft.com mentre è un link al sito webnews.it. Valutata con pericolosità 3 su 5 da Secunia e con pericolosità massima dal gruppo ideatore della soluzione open source, la falla è a tuttora ufficialmente sprovvista di patch Microsoft.

A provvedere alla patch del bug è stato il gruppo Openwares.org (che accredita la scoperta a Sam Greenhalgh, in arte “Zap The Dingbat”). Sul sito ufficiale del gruppo è dunque ora disponibile il download del pacchetto risolutivo, completo di installatore, e, senza limitazione alcuna, è possibile prendere visione del codice.

La patch non si limita a proteggere “in silenzio” il sistema da questo tipo di URL. Dopo averla installata, le pagine costruite per sfruttare questo bug presenteranno una scritta “Protected by IE exploit patch” e un logo con link al sito Openwares. La patch si può rimuovere dalla pagina “Installazione applicazioni” del “Pannello di controllo” di Windows.

Figura 1: le pagine pericolose dopo l’installazione della patch

Una pagina simile a quelle di errore di Explorer con la scritta Protected by IE exploit patch, una spiegazione del problema di sicurezza, alcuni link a maggiori informazioni e un logo di Openwares


A prescindere dai dettagli tecnici e cronologici del fatto in questione, lo smacco perpetrato a Microsoft è una importante vittoria simbolica del mondo open source, il quale da tempo si arroga la maggiore capacità di saper intervenire con tempestività e prontezza di sviluppo ai problemi insorti nei vari applicativi.

Alcuni mesi fa uno studio intitolato Days Of Risk attribuito a Microsoft e Forrester Research, ma da questa ridotto ad un semplice parere su commissione della stessa Microsoft, aveva riportato come i sistemi Linux siano sia più facilmente soggetti a problemi di sicurezza sia più lenti nel correggerli.