Prime falle nel service pack 2 di Windows XP

In Italia siamo ancora in trepida attesa, in altre nazioni è già disponibile da qualche settimana, fatto sta che il Service Pack 2 di Microsoft è l'evento più atteso di questi ultimi mesi. Chi ha già potuto metterci sopra le mani ha appurato le migliorie (e i problemi) che il nuovo maxi-aggiornamento di Microsoft apporta al sistema, soprattutto nel campo della sicurezza.

Purtroppo, come ogni buon programmatore sa, nessun software esce senza difetti. E come tale, anche il Service Pack 2 non è esente da questa regola. Fatto sta che Jürgen Schmidt, ricercatore della società Heise Security, ha scoperto le prime due falle del nuovo prodotto di Microsoft.

Con il Service Pack 2, Microsoft ha introdotto una nuova funzionalità (ZoneID) che avvisa gli utenti prima di eseguire files che provengono da una locazione non sicura, quale Internet.

Internet Explorer e Outlook Express identificano i files che vengono scaricati da Internet o salvati da allegati e-mail con uno ZoneID=3. Quando un utente tenta di eseguire un file con uno ZoneID maggiore o uguale a 3, riceverà un avvertimento. Questo identificativo viene scritto in un ADS (Alternative Data Stream), una funzionalità del filesystem NTFS, con la denominazione ":Zone.Identifier".

la prima falla riguarda l'interprete dei comandi (CMD), il quale ignora lo ZoneID dei files.

Scrivendo cmd /c , il file verrà eseguito senza controllo dello ZoneID.

Sfruttando questa falla, un virus potrebbe anche essere diffuso con estensioni quali GIF e JPG, poiché l'interprete dei comandi non controlla l'estensione del file. In questo modo rinominando un file EXE in JPG e lanciandolo con il comando cmd /c , verrà lanciato il vero codice all'interno del file, non il gestore di immagini. É anche vero che un utente medio dovrebbe avere dei sospetti a lanciare un file JPG seguendo una procedura così "complicata" e diversa.

Il mancato controllo dell'estensione del file tuttavia non è una falla del Service Pack 2, è un problema presente in tutte le versioni di Windows XP.

L'altra falla presente riguarda sempre l'errata gestione dello ZoneID.

Windows Explorer memorizza lo ZoneID di un file. Se il file viene però sovrascritto, Explorer non aggiorna lo ZoneID con quello del file sovrascritto. In questo modo se su un file vuoto viene scritto il programma NOTEPAD.EXE, il file avrà uno ZoneID valido. Se però questo file viene sovrascritto con un malware, Explorer leggerà sempre lo ZoneID del primo file, quindi non mostrerà un avvertimento ed eseguirà immediatamente il programma nocivo.

Tuttavia per ora non c'è modo di sfruttare questa falla dall'esterno, quindi il rischio è minimo.

Microsoft ha risposto alla segnalazione di queste due falle dicendo che per ora non sono due problemi gravi e come tali non richiedono l'immediato rilascio di patch o aggiornamenti, tuttavia la segnalazione sarà presa in esame per migliorare il prodotto.