Dopo CERT Warning, Microsoft rilascia Correzione AutoRun

Microsoft invia un aggiornamento software ad alcuni utenti Windows che corregge un bug nel software AutoRun di Windows, utilizzato per avviare automaticamente i programmi quando vengono introdotti sul PC DVD o dispositivi USB.

La correzione dei bug, consegnata tramite i sistemi di aggiornamento automatico standard di Microsoft, arriva un mese dopo che l'US Computer Emergency Readiness Team (US-CERT) ha emesso un avviso di sicurezza che avverte che Windows non ha disabilitato correttamente AutoRun su Windows 2000, XP e Server 2003.

"Disabilitare AutoRun su I sistemi Microsoft Windows possono aiutare a prevenire la diffusione di codice dannoso ", ha affermato CERT nella sua consulenza. "Tuttavia, le linee guida di Microsoft per disabilitare AutoRun non sono pienamente efficaci, il che potrebbe essere considerato una vulnerabilità."

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Microsoft ha detto che gli utenti tecnici possono disabilitare AutoRun di impostando un valore di registro di Windows denominato NoDriveTypeAutoRun su 0xFF. Il problema era che, anche con questo set di valori, alcune versioni di Windows lanciavano i programmi AutoRun ogni volta che l'utente fa clic sull'icona di un dispositivo utilizzando Windows Explorer.

Ciò potrebbe comportare grossi problemi per alcuni utenti, poiché il diffuso worm Conficker utilizza AutoRun per diffondersi dai dispositivi USB ai PC.

C'è stato qualche dibattito interno all'interno di Microsoft sul fatto che Windows dovrebbe abilitare l'esecuzione automatica di default, poiché il software può essere utilizzato in modo improprio. AutoRun ha aiutato a installare il famigerato software di protezione dalla copia di rootkit Sony sui PC degli utenti quattro anni fa.

Anche se Microsoft descrive la sua correzione come un aggiornamento di non sicurezza, la patch "ha sicuramente implicazioni sulla sicurezza", ha detto Ben Greenbaum, un senior research manager con Symantec Security Response. "Permette agli utenti che si aspettavano - a ragion veduta - un certo livello di protezione dalla funzionalità di ottenere effettivamente quel livello di protezione."

Si scopre che Microsoft ha effettivamente prodotto una patch per il problema, che gli utenti potevano scaricarsi da soli, già nel maggio 2008. Aveva anche eliminato un aggiornamento di luglio che risolveva il problema di Vista e Server 2008; ma questa correzione non è stata aggiornata automaticamente per gli utenti di Windows 2000, XP e Server 2003 fino a martedì.