Come preannunciato nei giorni scorsi Microsoft ha rilasciato degli aggiornamenti straordinari dedicati a Visual Studio e Internet Explorer 8, il tutto è documentato dai bollettini (MS09-034 e MS09-035). Un commento e una spiegazione dettagliata del problema viene riportata dal Security Virtualization Blog a cura di Feliciano Intini. Riportiamo qui di seguito uno dei passaggi fondamentali:

Come suggerisce il titolo dell’Advisory, le vulnerabilità di cui parliamo sono presenti nell’ Active Template Library (ATL), una libreria di classi C++ a disposizione degli sviluppatori di applicazioni per semplificare la programmazione di oggetti COM. Dal momento che gli oggetti COM più noti e i più comuni sono i controlli ActiveX, li userò come esempio per chiarire il problema. Supponiamo che uno sviluppatore abbia scritto un controllo ActiveX da usare in una sua applicazione e per farlo abbia usato la libreria ATL (come una sorta di mattoncini Lego), nella modalità che introduce il problema: a questo punto l’ActiveX che lui ha scritto e che ha distribuito ai suoi clienti è vulnerabile secondo le classiche modalità di attacco via web. Come vi ho sempre raccontato in questo blog quando vi ho documentato le vulnerabilità relative ad Internet Explorer, è possibile a questo punto che un utente, sul cui PC sia presente tale ActiveX vulnerabile, navigando su una pagina web artefatta ad hoc, riesca ad essere vittima di un attacco capace di far eseguire del codice non autorizzato sul proprio computer (esempio: virus/trojan), in grado di agire (e fare danni) in modo proporzionale ai suoi privilegi (utente amministratore del suo PC=pieni poteri=rischio maggiore).

Al fine di proteggersi da questa problematica di sicurezza Microsoft consiglia all'utente finale e alla clientela professionale di abilitare l'opzione di aggiornamento automatico verificando la corretta installazione dell'aggiornamento MS09-034. Inoltre si suggerisce l'aggiornamento di Internet Explorer 8. Per gli sviluppatori, oltre alle indicazioni appena descritte, Microsoft suggerisce l'installazione dell'aggiornamento MS09-035 e la consultazione della documentazione dedicata.

Un approfondimento dedicato al cui interno vengono indicate ulteriori fonti di informazione è disponibile qui.