Nella tarda serata di mertedì 28 luglio, il colosso di Redmond ha diffuso la notizia di una grave vulnerabilità sulla sicurezza di un elevato numero di applicazioni.
Secondo quanto riferito con il bollettino MS09-035 il componente vulnerabile è l’Active Template Library, un’apposita libreria di classi C++ sviluppata da Microsoft e distribuita insieme al Visual Studio che semplifica notevolmente la programmazione di oggetti Component Object Model ed ActiveX.
Questa libreria, utilizzata in una moltitudine di applicazioni per Windows, è usata per il classico attacco che prevede l’esecuzione di codice malevolo, all’interno di pagine e documenti HTML aperti nel browser Internet Explorer, con gli stessi privilegi dell’utente.
Sebbene molti problemi erano già stati risolti con il bollettino MS09-032 è indicato effettuare anche gli aggiornamenti contenuti nel bollettino MS09-034. Per gli sviluppatori è invece altamente consigliato effettuare gli aggiornamenti del bollettino MS09-35 contenente le patch per Visual Studio.
Con l’obiettivo di identificare in maniera rapida gli eventuali ActiveX vulnerabili, il sito ICASI ha messo a disposizione gratuitamente a tutti gli sviluppatori un apposito scanner sviluppato dalla Verizon Business per poter installare, non appena disponibili, gli update necessari.
