QR code per la pagina originale

NISCC annuncia: grave falla nello standard MIME

Una grave falla è stata scoperta nello standard di trasmissione di file MIME. Un messaggio malformato è in grado di portare al rischio di DoS, bypass delle restrizioni di sicurezza o di esecuzione di codice da remoto. Prime conferme dai vendor.

,

Arriva dal NISCC (National Infrastructure Security Co-ordination Centre), l’autorevole struttura inglese che ha il compito di controllare la Rete al fine di prevenire pericolosi attacchi informatici, un monito che si presenta immediatamente con l’etichetta di “estremamente grave”: una falla è stata scoperta nel sistema MIME dall’agenzia Corsaire, la quale già da oltre un anno avrebbe comunicato il tutto al NISCC affinchè l’intervento dei vari vendor coinvolti venisse coordinato nel migliore dei modi.

Il MIME (Multipurpose Internet Mail Extensions) è uno standard molto utilizzato in quanto regola la trasmissione di file sia via mail che tramite protocollo HTTP. Potenzialmente in pericolo, dunque, tutti i componenti richiamabili soprattutto alle seguenti categorie:

  • Email client
  • Web browser
  • Antivirus

I pericoli che hanno determinanto l’alto allarme sollevatosi attorno alla vicenda sono costituiti dal rischio di esecuzione di codice da remoto, dal rischio di bypassare i controlli di sicurezza con eventuali conseguenti manomissioni ed infine dal rischio di Denial of Service. L’exploit sarebbe possibile mediante l’uso di messaggi malformati tali per cui ne risulta impossibile l’interpretazione, circostanza che va a forzare il problema nel sistema evidenziando la vulnerabilità emersa (ed i pericoli conseguenti).

I vari vendor coinvolti stanno procedendo al controllo dei propri prodotti, ma notizie più precise ancora non sono disponibili in quanto le operazioni sembrano essere a tuttora in esecuzione. Apple, HP, MessageLabs e Mozilla hanno già comunicato la non-vulnerabilità dei propri prodotti, mentre F-Secure ha annunciato una patch per il proprio Internet Gatekeeper in contemporanea al prossimo rilascio della nuova versione.