Windows, il pericolo viene dai font embedded

Windows, il pericolo viene dai font embedded

Seguendo il suo consueto ciclo mensile dei rilasci, la scorsa notte Microsoft ha pubblicato sei bollettini di sicurezza che, nel complesso, correggono 15 vulnerabilità in Windows, Windows Server e Office.

 

Una delle falle considerate più urgenti, sia in ambito client che server, è quella risolta dal bollettino MS09-065. I bug risolti dalla patch sono tre, tutti contenuti nel kernel di Windows e tutti potenzialmente sfruttabili da un aggressore per eseguire del codice a sua scelta in modalità remota.

 

Delle tre, la vulnerabilità più pericolosa è legata alla gestione dei font Embedded OpenType (EOT): un malintenzionato potrebbe far leva su questa debolezza allestendo una pagina web che, una volta aperta dall'utente, innesca l'esecuzione di codice maligno. A rendere particolarmente insidiosa questa vulnerabilità è il fatto che il font malformato potrebbe essere iniettato da un aggressore anche in siti che, pur non essendo direttamente sotto il suo controllo, ospitano contenuti uploadati dagli utenti. Oltre a ciò, i dettagli della falla sono di pubblico dominio ormai da settimane. Il problema interessa tutte le versioni ancora supportate di Windows ad eccezione delle due più recenti: Windows 7 e Windows Server 2008 R2.