Microsoft riabilita l’installazione di app dal web per problemi di sicurezza

2 years ago 245

di Alexandre Milli, 2 aprile 2022, 14:002 aprile 2022, 14:00

Microsoft vuole impedire ai malware (e agli utenti) di utilizzare il protocollo d’installazione di app dal web per problemi di sicurezza.

2 APRILE 2022 | Dopo aver disabilitato il protocollo ms-appinstaller lo scorso febbraio per problemi di sicurezza Microsoft ha annunciato che è ora possibile riabilitarlo per installare le app .MSIX via web.

Aggiornamento: – I clienti aziendali che desiderano abilitare il protocollo ms-appinstaller per MSIX possono ora farlo seguendo questi passaggi:

  • Aggiornamento all’ultima versione del programma di installazione dell’app: 1.17.10751.0. (Se necessario, è disponibile una versione offline di App Installer per il download dall’Area download Microsoft.)
  • Scarica il criterio del programma di installazione dell’app desktop , quindi abilita la funzionalità accedendo al criterio tramite l’Editor criteri di gruppo locale (Configurazione computer > Modelli amministrativi > Componenti di Windows > Programma di installazione dell’app desktop) e selezionando “Abilita protocollo ms-appinstaller del programma di installazione dell’app”.

Nota: per poter utilizzare il protocollo ms-appinstaller per MSIX, sarà necessario abilitare sia l’app più recente del programma di installazione dell’app che il criterio del programma di installazione dell’app desktop.

Protocollo ms-appinstaller disabilitato

Il protocollo d’installazione di app (ms-appinstaller) è stato introdotto per consentire agli utenti di installare un’applicazione facendo click su un collegamento in un sito web invece di scaricare prima un intero pacchetto MSIX (immagine in alto). Negli scorsi mesi questo sistema è stato sfruttato per diffondere malware tramite falsi App Installer nei quali erano contenuti pacchetti infetti, come riportato in quest’altro articolo. Per tanto Microsoft ha deciso di disabilitare tale protocollo al fine di impedire tale pratica e salvaguardare gli utenti.

Di recente ci è stato comunicato che il protocollo ms-appinstaller per MSIX può essere utilizzato in modo dannoso. In particolare, un utente malintenzionato potrebbe falsificare App Installer per installare un pacchetto che l’utente non intendeva installare. Questa vulnerabilità di spoofing viene monitorata dal Microsoft Security Resource Center (MSRC) e i dettagli sullo stato corrente sono disponibili in CVE-2021-43890.

Sebbene sia stato disattivato il protocollo d’installazione dal web, nell’attesa che Microsoft risolva il problema di sicurezza è comunque possibile scaricare le applicazioni in formato MSIX e installare il pacchetto manualmente.

Stiamo lavorando attivamente per affrontare questa vulnerabilità. Per ora, abbiamo disabilitato lo schema ms-appinstaller (protocollo). Ciò significa che il programma di installazione dell’app non sarà in grado di installare un’app direttamente da un server web. Invece, gli utenti dovranno prima scaricare l’app sul proprio dispositivo e quindi installare il pacchetto con il programma di installazione dell’app. Ciò potrebbe aumentare la dimensione del download per alcuni pacchetti.

Che ne pensate di questa scelta di Microsoft? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonte | Microsoft

Tag //

Read Entire Article