Mi era giunta voce a riguardo, ma non essendo utente Windows ho pensato: «vabbè siamo alle solite, evidentemente qualcuno ha installato un gadget dannoso ed è stato vittima della sua imprudenza.». Evidentemente però c’è dell’altro dietro, e avremo la possibilità (secondo voci di corridoio) di scoprirlo soltanto durante il prossimo Black Hat (al Caesar’s Palace di Las Vegas, Nevada, dal 21 al 26 Luglio): questa volta non si tratta del solito gadget dannoso che va a rompere gli equilibri di tutto il sistema ma, vista la mossa affrettata e definitiva di Microsoft, probabilmente è stato scoperto qualche bug comune a tutti i gadget (sono tutti scritti in HTML) che, se opportunamente sfruttato, potrebbe portare alla creazione di danni anche ingenti al proprio sistema operativo.
Per chi non lo sapesse, i Gadget altro non sono che quei mini-programmi (se è lecito chiamarli così) – come l’orologio, il meteo, il gestore di post-it, l’agenda e via discorrendo – introdotti inizialmente all’interno della sidebar di Windows Vista, e ereditati poi da Windows 7 come elementi mobili del desktop.
Per quanto possano essere belli ed utili, Microsoft dice (qui il security advisory) che i gadgets fanno male,anche se progettati e rilasciati dalla stessa azienda:
Un utente malintenzionato in grado di sfruttare una vulnerabilità Gadget può eseguire codice arbitrario nel contesto dell’utente corrente. Se l’utente corrente è connesso con privilegi di amministratore, un utente malintenzionato può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all’attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
In pratica hanno deciso di tagliare la testa al toro, e di consigliare agli utenti di disabilitare completamente tutti i gadgets e l’eventuale sidebar. Pensate un po’, l’intervento è talmente radicale che si è deciso addirittura di chiudere la galleria gadgets. La soluzione potrebbe essere provvisoria, ma non ne siamo del tutto certi: tutto dipende dall’esito della ricerca durante il Black Hat, probabilmente i gadgets saranno riadottati se e quando sarà disponibile un fix che metterà in sicurezza gli utenti in maniera non radicale.
Come la stessa Microsoft ci fa presente, al momento è disponibile un fix-it automatico che permette, in pochissimi minuti, di disabilitare al volo sia gadgets che sidebar (se presente). Potrete reperirlo in questa pagina della KB.
Direi che, a questo punto, mi è piuttosto chiaro il perchè i gadgets non siano presenti in Windows 8, neppure nella “versione classic desktop” del sistema operativo! HTML5 (linguaggio con cui sono scritte le applicazioni Metro) sarà più sicuro? Beh, staremo a vedere!