Il player multimediale Real da qualche tempo è a rischio: cosa accade veramente e le indicazioni su come affrontare il rischio a cui ci si espone impiegando il player in Internet Explorer

Anziché parlarne nell'area Flash abbiamo pensato, su spunto della lettura del blog di Ryan Naraine, di informarvi più dettagliatamente di quanto accade e a quali rischi si va incontro utilizzando, in presenza di un fastidioso bug che lo indebolisce, Real Player, il noto lettore multimediale prodotto da Real . Al momento della redazione, la patch è stata rilasciata (qui) ma riportiamo ugualmente la cronaca della circostanza per il suo valore didattico e per imparare a seguire da vicino queste problematiche, che si presentano inaspettatamente e con frequenza imprevedibile.

Il blogger ha iniziato a parlare dell'argomento venerdì scorso, quando già risultava che gli hacker stavano attivamente facendo uso di un bug nel Real Player, software installato ovviamente su milioni e milioni di computer in tutto il mondo. Gli attacchi sono iniziati giovedì 18 scorso, diretti sostanzialmente a versioni non patchate di ActiveX in relazione ai metodi con cui il player interagisce con Internet Explorer.

Il bug causa dei download di malware semplicemente puntando il browser su una pagina che contenga codice appositamente concepito, secondo quanto risulta dagli allarmi emessi dal DeepSight Threat Management System di Symantec. Le versioni di Real Player ritenute a rischio sono la 6.0.14.544, la 6.0.14.550 (11 Beta), la 6.0.12.1662 (10.5), la 6.0.12, 6.0.11 e la 6.0.10.

Il blogger suggerisce, almeno finché non sia disponibile una patch dal produttore, di non impiegare affatto Internet Explorer ma di sfruttare un prodotto analogo (es. Firefox, Opera) e riferisce che Symantec raccomanda altresì di:

• Bloccare l'accesso agli indirizzi IP 83.149.65.105 e 66.199.254.193, poiché sono stati osservati partecipare agli attacchi e portare a compimento altre attività poco chiare
• Impostare il kill bit sull'identificatore di classe (CLSID) FDC7A535-4070-4B92-A0EA-D9994BCC0DC5 - Microsoft offre istruzioni al riguardo
• Accertarsi che Microsoft Internet Explorer sia configurato per chiedere l'autorizzazione prima di eseguire Script Attivi: se non se ne ha bisogno, disattivarli completamente
• Accertarsi che Microsoft Outlook e Outlook Express siano configurati per visualizzare tutta la posta in entrata in testo semplice o che i messaggi in HTML siano aperti nell'area "Siti con restrizioni"
• Poiché la maggior parte delle vulnerabilità di questo genere fa leva su Javascript per funzionare, tenerlo disabilitato il più possibile
• Eseguire sempre il browser e altri programmi che visualizzano HTML all'interno di una utenza con il minimo privilegio possibile

Nelle ore successive il blogger ha riferito di alcuni aggiornamenti e ha inserito informazioni aggiuntive; infine, sabato Real ha rilasciato la patch.

Da questa circostanza, come da migliaia di altre simili, emerge ancora una volta come oggi non si possa "circolare" su Internet senza un minimo di accortezze, senza avere un buon antivirus e un buon firewall sempre aggiornati e, soprattutto, cercando di non usare Internet Explorer o altre applicazioni che facciano uso del suo motore.

SP

Condividere questa pagina su: