Microsoft ha rilasciato nella giornata di ieri un'importante patch per tutti i sistemi operativi Windows. La patch è la prima che viene distribuita per un problema critico comparso in Windows Vista ed è stata pubblicata, per l'estrema gravità, al di fuori del consueto bollettino mensile. Il problema, se eseguito in Vista attraverso Internet Explorer 7, risulta tuttavia attenuato grazie alla modalità protetta di cui gode il browser eseguito nel nuovo sistema operativo.
L'aggiornamento è installabile automaticamente via Microsoft Update (solo per Internet Explorer) oppure può essere scaricato dalla pagina dedicata del sito Microsoft. L'aggiornamento è vivamente consigliato. Nei giorni che hanno preceduto il rilascio della patch diverse società di sicurezza e produttori di antivirus hanno infatti indicato la crescente comparsa sul Web di file indirizzati allo sfruttamento di una delle vulnerabilità corrette dal bollettino.
Oltre ad una vulnerabilità critica, il bollettino MS07-17 corregge altre sei diversi problemi che riguardano le versioni 2000, XP, Server 2003 e Vista. La pericolosità di questi problemi è tuttavia segnata da Microsoft tra i livelli importante e moderato.
Il bug principale riguardava la visualizzazione e la gestione dei file .ANI (Animated Cursor), file usati solitamente in Windows per modificare il puntatore del mouse o per gestire altri tipi di cursori animati. Questi tipi di file vengono gestiti da un processo di Windows richiamato direttamente da diversi programmi. La vulnerabilità poteva dunque essere sfruttata sia mediante un messaggio di posta elettronica letto da Outlook o dal programma di e-mail incluso in Windows Vista, mediante una pagina Web visualizzata in Internet Explorer oppure attraverso qualsiasi altro programma che si appoggi al componente vulnerabile.
Sul Web da alcuni giorni sono stati rilevati sia messaggi di posta elettronica che, sotto forma di messaggi di spam, potevano condurre il sistema operativo all'errore e all'installazione di software nocivo sia diverse pagine Web, continuamente in crescita, che se visualizzate in Internet Explorer avrebbero raggiunto lo stesso obiettivo. La società di sicurezza iDefense ha addirittura segnalato un'applicazione basata sul Web che consente di creare uno strumento di exploit che sfrutti la vulnerabilità con un semplice clic.
Per correggere il grave problema erano state distribuite in rete alcune patch non ufficiali. Una di queste patch è stata rilasciata dallo ZERT (Zeroday Emergency Response Team), un gruppo di programmatori che si dedica al rilascio di patch di sicurezza nel momento stesso in cui exploit o altri gravi problemi vengono rilevati in rete. Le patch non ufficiali non forniscono tuttavia la sicurezza e l'affidabilità di quelle distribuite direttamente da Microsoft. È già capitato in passato che correzioni di questo tipo presentassero diversi problemi di compatibilità.
Il ritardo nel rilascio delle patch è tuttavia un problema che da molte parti viene imputato all'azienda di Redmond. Il problema nella gestione dei file .ani è stato infatti portato a conoscenza dell'azienda nel dicembre 2006 dalla Determina, una società di sicurezza californiana e da allora non ha trovato correzione nei tre cicli di rilascio di patch gestite dall'azienda. Microsoft, anzi, nel bollettino di sicurezza di marzo non ha rilasciato nessuna nuova correzione.
Al momento, secondo i due servizi dedicati dal Sans Institute e dalla società eEye al tracciamento delle vulnerabilità non corrette in software Microsoft, sono diversi i problemi di cui l'azienda è a conoscenza e di cui non ha ancora emesso una patch correttive. Secondo lo Zero-Day Tracker di eEye Research sono ancora sei i problemi conosciuti in software Microsoft che non hanno ancora ricevuto protezione da Redmond, e uno di questi è considerato di gravità alta. Il servizio The missing Microsoft patches dell'istituto Sans riporta invece tredici vulnerabilità non corrette di cui una di gravità critica.
