Picasa, corretta una falla critica

Nuova falla in un prodotto targato Google: dopo quella incredibile dei giorni scorsi rilevata nel Webmaster Tool, infatti, un nuovo servizio è al centro dell’attenzione per un bug piuttosto importante. Questa volta si tratta di Picasa, il cui client per ambienti Windows risulta afflitto da un grave problema che potrebbe causa l’esecuzione di codice arbitrario da parte di malintenzionati.

Tale falla risiede nella versione 3.6 ed in tutte quelle precedenti dell’applicazione ed è stata scoperta da David Weston, membro del team di sicurezza di Microsoft, sul cui sito ufficiale è disponibile uno specifico report riguardante tale problema. A mettere in crisi il client ufficiale di Picasa sarebbe stato un sistema per la gestione delle proprietà delle immagini in formato JPEG: un eventuale file corrotto gestito tramite tale software potrebbe compromettere la sicurezza del computer in uso, aprendo le porte ad intrusioni dall’esterno.

Una volta effettuato un attacco basato su tale exploit, infatti, è possibile mandare in crash l’istanza di Picasa in esecuzione sul computer aggredito ed assicurarsi gli stessi privilegi dell’utente in uso per eseguire codice da remoto. Qualora quest’ultimo possegga privilegi di amministratore, le conseguenze possono essere piuttosto gravi: in tal caso l’aggressore potrebbe ottenere controllo completo della macchina per installare programmi ed eventuali malware oppure accedere in lettura e scrittura ai file archiviati.

Grazie alla collaborazione tra Microsoft e Google in ambito di sicurezza il problema è stato immediatamente risolto: il gruppo di Mountain View ha reso disponibile la versione 3.8 del client Picasa sul rispettivo sito web, correggendo la falla per evitare la nascita di nuovi problemi. Nella pagina ufficiale dedicata ai changelog non risulta tuttavia alcuna menzione alla vulnerabilità scoperta dal team di sicurezza di Redmond.