È di nuovo bufera su Microsoft per la solita questione delle patch che arrivano in ritardo. Come nel più peggiore degli incubi, il 27 dicembre, durante i giorni delle festività natalizie, un messaggio su Bugtraq informava tutti i lettori della nota mailing list di sicurezza che su un sito Web era comparso un exploit in grado di installare un trojan su una macchina Windows XP regolarmente assicurata con le ultime patch. Poche ore dopo i produttori del Metasploit Framework, un sistema per testare il funzionamento di exploit di sicurezza, rilasciavano al pubblico una versione funzionante dell'exploit. Da quel momento la vulnerabilità, diventata di pubblico dominio, cominciava ad essere inclusa in messaggi di posta elettronica e in file distribuiti sui circuiti peer to peer. Una patch ufficiale, ad oggi, non c'è ancora.
La vulnerabilità è molto pericolosa e ricalca due falle già scoperte in windows nell'ottobre 2004 e nel novembre 2005. Il componente di Windows che si occupa di visualizzare le immagini sullo schermo (il Graphics Rendering Engine) non gestisce con sufficiente sicurezza i file di tipo Wmf (Windows Metafile). Un file Wmf appositamente creato per sfruttare l'errore potrebbe mandare in crash il componente e installare trojan, virus, worm o qualsiasi altro file nocivo.
I file di questo tipo, anche camuffati con estensioni regolari come Jpeg o Gif, sono automaticamente visualizzati da Internet Explorer e molti altri programmi, come il Google Desktop Search, utilizzano le librerie colpite dal problema per gestire questa tipologia di file. Un file Wmf corrotto può essere incluso in una pagina Web, inviato come allegato o nel corpo di un messaggio di posta elettronica, lasciato scaricare da un programma di file sharing. Sono decine le possibilità per questo tipo di file di diventare nocivo per normali utenti della rete Internet.
Microsoft, dopo aver immediatamente pubblicato un bollettino di avviso in cui avvisava di essere al corrente del problema, ha da alcune ore informato la comunità dei possessori di sistemi Windows che una patch sarà rilasciata il 10 gennaio, in concomitanza con il canonico bollettino mensile di patch.
La comunità di sviluppatori si interroga tuttavia sulla pratica di Microsoft di non intervenire immediatamente per correggere problemi così gravi e così diffusi. Il processo di produzione di una patch di Windows costa tempo: la correzione deve essere testata in diverse configurazioni, tradotta in diverse lingue e deve essere assicurata, senza alcun dubbio, la sua efficacia. Ma si può lasciare un sistema vulnerabile, con minacce già pronte sul Web, per oltre 10 giorni?
Secondo alcuni non è possibile. Blog e siti di informazione non hanno così perso tempo a pubblicizzare il rilascio di una patch non ufficiale, scritta da Ilfak Guilfanov, un programmatore indipendente, e pubblicata sul suo blog. Anche un'istituzione della sicurezza informatica come il Sans Institute (SysAdmin, Audit, Networking, and Security), dopo un'attenta analisi del programma, ha consigliato vivamente di installare, soprattutto in ambiti aziendali, la correzione di Guilfanov, magari nella versione in formato Microsoft Installer messa a punto da un altro sviluppatore.
