Google lancia l’allarme MHTML

di Tullio Matteo Fanti

14 Marzo 2011 14:30

Il Google Security Team ha avvistato attacchi condotti tramite la nota vulnerabilità MHTML in Windows. In attesa di una patch definitiva, è bene proteggersi installando l'apposito Fix It

Dal Google Security Team giunge un allarme per chi utilizza Internet Explorer: sono stati recentemente condotti alcuni attacchi in grado di sfruttare una vulnerabilità in Windows segnalata a livello di MHTML e veicolati specificatamente tramite il browser Microsoft.

In attesa di una patch correttiva da parte di Microsoft, che alla luce delle nuove segnalazioni non dovrebbe comunque tardare, gli utenti e le aziende che utilizzano Internet Explorer possono arginare la vulnerabilità utilizzando l’apposito Fix It.

La vulnerabilità a livello di MHTML (MIME Encapsulation of Aggregate HTML), nonostante l’exploit sia stato reso pubblico già nel mese di gennaio, non ha ancora trovato un correttivo ufficiale da parte dei tecnici di Redmond. Attesa nel pacchetto aggiornamenti dell’8 febbraio prima e dell’8 marzo poi, la patch risulta infatti ancora in fase di sviluppo. Occorre peraltro sottolineare come il bug sia identificato non nel browser Internet Explorer, quanto nel sistema operativo Windows: il fatto che l’exploit sia stato sviluppato per agire su IE, però, mette in pericolo specificatamente l’utenza utilizzante il browser di Redmond.

Alla base del ritardo, la constatazione da parte di Microsoft dell’assenza di attacchi importanti veicolati attraverso tale vulnerabilità e la possibilità quindi di sviluppare senza troppa fretta una patch efficace. L’allarme lanciato da Google cambia però ora le carte in tavola.

Secondo i tecnici di Mountain View, gli attacchi avrebbero avuto dei target estremamente precisi e sarebbero connotati da una sicura matrice politica, ma sono stati osservati anche attacchi contro utenti di siti sociali. Google avrebbe sviluppato diversi sistemi di difesa server-side per proteggere i propri utenti, tuttavia non può garantire una protezione totale contro tali attacchi.

Da Google giunge pertanto l’invito a tutti gli utenti che utilizzano Internet Explorer ad utilizzare, almeno temporaneamente, un browser alternativo. Le utenze aziendali che sono legate al browser Microsoft dovrebbero installare immediatamente l’apposito Fix It.

La patch definitiva contro la vulnerabilità di Windows dovrebbe a questo punto essere rilasciata nel corso del prossimo aggiornamento Microsoft mensile, se non anticipata nel caso l’attacco dovesse assumere dimensioni importanti.