Adesso non ci si puo' fidare piu' neppure delle immagini. Infatti può essere sufficiente visualizzare un'immagine nel popolarissimo formato JPEG per infettare un computer Windows. Questo nuovo traguardo del progresso informatico e' stato annunciato da Microsoft ieri (14/9/2004).

I dettagli tecnici sono disponibili qui e in forma ancora piu' tecnica qui. Ulteriori informazioni, appena disponibili, saranno catalogate qui.

Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il proprio software con Windows Update. Sono a rischio anche gli utenti di varie versioni di Microsoft Office, per i quali c'e' un apposito aggiornamento.

La vulnerabilita' e' considerata "critica" da Microsoft, dato che rende appunto sufficiente la visualizzazione di un'immagine (per esempio in Internet Explorer o in Outlook o in un documento Office) per permettere all'aggressore di fare quel che gli pare al PC del bersaglio.

Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente Windows basta visitare un sito Web contenente un'immagine appositamente confezionata, oppure ricevere l'immagine in un e-mail o via chat e aprirla/visualizzarla. E' una falla grave.

Al momento non mi risultano disponibili dimostrazioni pubbliche del funzionamento di questa vulnerabilita'.

E' dunque il caso di smettere di scaricare immagini? Dobbiamo metterci a tremare ogni volta che ci arriva una foto da un amico o sfogliamo una pagina Web? Per adesso no, ma nei prossimi giorni si'.

La ragione e' semplice: ora che la falla e' stata annunciata, gli aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che agiscono con fini di lucro, come spammer e pornovendoli) si daranno da fare per scoprire il funzionamento della falla e sfruttarla (alcuni probabilmente l'hanno gia' fatto). E' quindi assolutamente indispensabile scaricare e installare gli aggiornamenti di sicurezza predisposti da Microsoft.

Gli utenti Mac e Linux al momento non risultano affetti da questo problema, che ricorda (in peggio) il recente allarme che li aveva colpiti per l'immagine ammazzabrowser, quella in formato PNG, gia' descritta in un altro articolo. Mentre nel caso della falla Mac e Linux il risultato era il collasso del browser, senza possibilita' di infezione e senza danni permanenti al sistema operativo, nel caso di questa falla di Windows l'immagine non si limita ad ammazzare il browser, ma consente di infettare permanentemente il sistema operativo.

Per il vostro bene e per quello della Rete, insomma, se usate Windows, aggiornatelo. Aggiornatelo subito.