Primo 0day del 2011 per MS
Una thubmnail, un’immagine di dimensioni molto piccole, può causare grossi danni a quasi tutti i sistemi Windows in circolazione. È stata Microsoft stessa a dare notizia di un nuova e pericolosa falla 0day in Windows.
Il bug risiede nel Windows Graphics Rendering Engine e, come detto, colpisce tutti gli OS Windows ad eccezione di Windows 7 32-bit e x64 e Windows Server 2008 R2 per sistemi x64 e Itanium.
Una volta fatta visualizzare al sistema vittima un’immagine thumbnail appositamente creata, un attaccante sarebbe in grado di eseguire codice da remoto ereditando i privilegi dell’utente loggato. Insomma, nel caso l’utente vittima fosse l’amministratore del sistema, i danni potrebbero essere davvero notevoli.
Microsoft ha dichiarato che per il momento non sono stati scoperti attacchi e malware che sfruttino questa vulnerabilità ma, come segnale The Register un exploit funzionante è già disponibile negli aggiornamenti di Metasploit Framework, uno dei più noti tool gratuiti utilizzati per penetration testing.
fonte: Oneitsecutity.it