Basta un’immagine per colpire Windows: primo 0day del 2011 per MS

di Matteo Campofiorito

Pubblicato 5 Gennaio 2011
Aggiornato 12 Febbraio 2018 20:47

Una thubmnail, un’immagine di dimensioni molto piccole, può causare grossi danni a quasi tutti i sistemi Windows in circolazione. È stata Microsoft stessa a dare notizia di un nuova e pericolosa falla 0day in Windows.

Il bug risiede nel Windows Graphics Rendering Engine e, come detto, colpisce tutti gli OS Windows ad eccezione di Windows 7 32-bit e x64 e Windows Server 2008 R2 per sistemi x64 e Itanium.

Una volta fatta visualizzare al sistema vittima un’immagine thumbnail appositamente creata, un attaccante sarebbe in grado di eseguire codice da remoto ereditando i privilegi dell’utente loggato. Insomma, nel caso l’utente vittima fosse l’amministratore del sistema, i danni potrebbero essere davvero notevoli.

Microsoft ha dichiarato che per il momento non sono stati scoperti attacchi e malware che sfruttino questa vulnerabilità ma, come segnale The Register un exploit funzionante è già disponibile negli aggiornamenti di Metasploit Framework, uno dei più noti tool gratuiti utilizzati per penetration testing.