Foto e video / Gadget e Mp3 / Gaming e Home Entertainment / Notebook / Phone

Foto a rischio su Facebook e MySpace

Problemi in vista per due popolari siti Web: Facebook e MySpace sono sotto tiro a causa di una vulnerabilità scoperta nel sistema di caricamento delle immagini. Sull’autorevole mailing list Full Disclosure, una delle più gettonate dai professionisti della sicurezza informatica, il ricercatore Elazar Broad ha infatti documentato un bug di Aurigma Image Uploader, presentata dal produttore come “un’interfaccia amichevole per il caricamento remoto di più file”.

Lo sfruttamento della vulnerabilità può portare all’esecuzione di codice arbitrario sul Pc della vittima: l’exploit (ovvero il metodo che, sfruttando la vulnerabilità in questione, porta a buon fine l’attacco) è già stato pubblicato sul sito Web milw0rm.com. Il codice specifico richiama la calcolatrice sul Pc vulnerabile; va da sé che - su questa base - ci vuole ben poco per realizzare attacchi efficaci.

Il problema è dovuto a un’errata gestione della memoria nel controllo ActiveX denominato Aurigma.Image.Uploader 4.1: la danese Secunia definisce il problema “altamente critico”, e il bollettino relativo ad esso evidenzia come il file vulnerabile si chiami ImageUploader4.ocx e la versione bacata sia la 4.5.70.0. Tuttavia, “probabilmente sono vulnerabili anche altre versioni“.

Al momento in cui scriviamo, non è stata rilasciata ancora la patch di rito, e appare saggio evitare l’upload di immagini sui due siti Web in questione. I più esperti possono disattivare il controllo ActiveX dal menu “Strumenti - Opzioni Internet - Programmi - Gestione componenti aggiuntivi” di Internet Explorer; per chi usa altri browser Web il problema non si pone.