Fra Outlook e Exchange c'è di mezzo il bug

Una falla in uno dei moduli di Exchange mette a rischio la sicurezza delle Web-mailbox degli utenti di Oulook. Pronto il cerotto

Redmond (USA) - Outlook è ancora vittima di una falla di sicurezza, anche se stavolta non si tratta del programma client ma del modulo che in Exchange 5.5 consente agli utenti di Outlook di accedere alle mailbox attraverso il Web.

Il problema risiede nel modo in cui Outlook Web Access (OWA) gestisce gli script all'interno delle e-mail in formato HTML. In un bollettino di sicurezza, Microsoft ha spiegato che un assalitore può ottenere il pieno controllo di una mailbox quando una e-mail contenente codice aggressivo viene aperta utilizzando Internet Explorer e il modulo OWA.

Secondo Microsoft, un assalitore potrebbe sfruttare tale vulnerabilità per spedire, muovere o cancellare messaggi che risiedono su di un Exchange Server, mentre non avrebbe il potere di accedere alle e-mail archiviate in locale o alla rubrica di un utente.
Microsoft sostiene che Exchange 2000 è immune al problema, mentre nulla si sa riguardo alle versioni precedenti alla 5.5, non più supportate dal big di Redmond.

La patch che corregge il problema è disponibile qui.

Lo scorso giugno, con un imbarazzante "balletto" di patch, Microsoft pose fine ad un problema di sicurezza in OWA molto simile a quello attuale.
TAG: sicurezza
14 Commenti alla Notizia Fra Outlook e Exchange c'è di mezzo il bug
Ordina
  • dopo le ultime mazzate non arrivano più alla carica consigliando a tutti gli 'aministratore di cambiare server di posta e SO.
    Cari amministratori di exchange continuate a usare questo prodotto perche l'alternativa free e molto più bacata e per applicare la patch non siete costretti a compilare er mondo.
    non+autenticato

  • > Cari amministratori di exchange continuate a
    > usare questo prodotto perche l'alternativa
    > free e molto più bacata e per applicare la
    > patch non siete costretti a compilare er
    > mondo.

    Tova un bug nel server SMTP di qmail, e portati a casa il premio (10.000$, mi pare).

    OK, exchange non e' solo SMTP, e' una cosa informe che cerca di assolvere troppi compiti.

    non+autenticato


  • - Scritto da: Giambo
    >
    > > Cari amministratori di exchange
    > continuate a
    > > usare questo prodotto perche l'alternativa
    > > free e molto più bacata e per applicare la
    > > patch non siete costretti a compilare er
    > > mondo.
    >
    > Tova un bug nel server SMTP di qmail, e
    > portati a casa il premio (10.000$, mi pare).
    >

    Beh ma se gli dici cosi' li mandi in confusione... loro sono abituati a pagare per trovare i bug mica ad essere pagati....
    non+autenticato
  • Forse non commentano perchè è stupido aggiungere la beffa al dannoSorride.

    Eppoi sono mica loro che devono patcharti Excange...

    'Iao

    non+autenticato


  • - Scritto da: mondo
    > dopo le ultime mazzate non arrivano più alla
    > carica consigliando a tutti gli
    > 'aministratore di cambiare server di posta e
    > SO.
    > Cari amministratori di exchange continuate a
    > usare questo prodotto perche l'alternativa
    > free e molto più bacata e per applicare la
    > patch non siete costretti a compilare er
    > mondo.
    Noi però almeno sappiamo che cosa è 1patch e come si applica Occhiolino
    E poi come ti hanno gia risposto il server SMTP Qmail non ha nessun bug(se lo trovi vai a ritirare il premio)
    Ciao
    Buon EX-Change
    non+autenticato


  • - Scritto da: mondo
    > dopo le ultime mazzate non arrivano più alla
    > carica consigliando a tutti gli
    > 'aministratore di cambiare server di posta e
    > SO.
    > Cari amministratori di exchange continuate a
    > usare questo prodotto perche l'alternativa
    > free e molto più bacata e per applicare la
    > patch non siete costretti a compilare er
    > mondo.

    (1) Non e' la prima volta che un prodotto targato MS fa acqua.
    (2) La patch la devono mettere i "cari amministratori di exchange".
    non+autenticato
  • - Scritto da: mondo
    > dopo le ultime mazzate

    quali mazzate?

    > non arrivano più alla
    > carica consigliando a tutti gli
    > 'aministratore di cambiare server di posta e
    > SO.

    no... ormai e' come sparare sulla croce rossa.

    > Cari amministratori di exchange continuate a
    > usare questo prodotto perche l'alternativa
    > free e molto più bacata

    l'alternativa free e' bacata ?
    dal sito di QMail (www.qmail.org)

    Proyecto DoQmail - Documentación y soporte a qmail en castellanoqmail francophone

    qmail is a modern SMTP server which makes sendmail obsolete, written by Dan Bernstein, who also has a web page for qmail. qmail is a secure package. There was a $1,000.00 prize for anyone who can show otherwise, which went unclaimed. You can download qmail 1.03 (Redhat RPMs, Mandrake RPMs, and Debian .debs) and redistribute qmail for free. You can get the "big picture" of how qmail is organized. You should read Life with qmail.

    e adesso voglio che i soloni del closed source mi dicano che in un pacchetto open source i bachi sono piu' facilmente sfruttabili.

    Chiedi alla microsoft (o a qualsiasi altra casa di software, mica solo lei) se ti mette in palio una cifra su chi trova un baco sui suoi prodotti, cosi' la riduciamo sul lastrico.

    Postfix ?
    2 anni che lo uso e l'ho upgradato una volta sola, per un DoS abbastanza complesso da realizzare.

    > e per applicare la
    > patch non siete costretti a compilare er
    > mondo.

    rpm -Uvh file.rpm

    e se ti fanno male le ditine c'e' sempre kpackage che soddisfa la tua voglia di click.

    non+autenticato
  • Perche' e` come sparare sulla Croce RossaSorride

    Dirai: "Si.. allora wu-ftp server?"
    Ti direi: anche in quel caso era sparare sulla C.R. perche` wu-ftp e` famoso per essere stato sempre piuttosto bacato.

    Se ti piace il sw proprietario fai pure, ma io mi domando: PERCHE' PER FARE DEL BETA TESTING DEVO PURE PAGARE??? e senza che sia beta testing dichiarato..

    Almeno nell'open source se testi sw beta non devi pagare e puoi contribuire in modo piu` diretto allo sviluppo, anche se non sai programmare..
    non+autenticato

  • insomma non ho capito.

    chi lo applica e su quale programma?
    non+autenticato
  • Quando leggo queste notizie mi si drizzano i capelli in testa!
    Ma come è possibile?
    Exchange non costa 100.000 Lire...
    non+autenticato
  • - Scritto da: Merlino
    > Quando leggo queste notizie mi si drizzano i
    > capelli in testa!
    > Ma come è possibile?
    > Exchange non costa 100.000 Lire...

    Sinceramente non credo che il problema dei bug sia un problema di costo. Ci sono applicativi industriali personalizzati da molti milioni che soffrono di continui bug. Anzi, il bug fa parte del loro sviluppo.
    non+autenticato


  • - Scritto da: mr whip
    > - Scritto da: Merlino
    > > Quando leggo queste notizie mi si
    > drizzano i
    > > capelli in testa!
    > > Ma come ?possibile?
    > > Exchange non costa 100.000 Lire...
    >
    > Sinceramente non credo che il problema dei
    > bug sia un problema di costo. Ci sono
    > applicativi industriali personalizzati da
    > molti milioni che soffrono di continui bug.
    > Anzi, il bug fa parte del loro sviluppo.
    finalmente qualcuno che ragiona
    non+autenticato


  • - Scritto da: pensare

    > > Sinceramente non credo che il problema dei
    > > bug sia un problema di costo. Ci sono
    > > applicativi industriali personalizzati da
    > > molti milioni che soffrono di continui
    > > bug.
    > > Anzi, il bug fa parte del loro sviluppo.


    > finalmente qualcuno che ragiona

    Un momento, please!
    Nessun programma e' esente da errori di programmazione, ma tutti sanno che la Microsoft rilascia applicativi strapieni di bugs perche' ha fretta di immettere i propri prodotti sul mercato prima di altri.
    Se rinunciasse a questa pretesa e testasse di piu' i suoi prodotti PRIMA non dovrebbe rilasciare continuamente cerotti che i piu' nemmeno applicano...
    Non a caso c'e' qualcuno che ha coniato il termine "Micro$oft" (notare la S) che secondo il dizionario dei termini di internet di un certo Mosca, mi pare, sta ad indicare propio questo modo di procedere.
    Modo di procedere peraltro verificato anche in altri comportamenti della nota casa produttrice di software per esempio: i manuali dei prodotti Microsoft non vengono piu' inclusi nel pacchetto software dai tempi di msdos 5 ma bisogna comprarli a parte (vedi Windows, office) pagandoli dalle 100.000 alle 250.000 lire.
    Fanno mille manuali che non sai quale scegliere, basta vedere il catalogo della Mondadori Informatica che ha in licenza i manuali Microsoft.

    Ci sono poi la miriade di siti microsoft che non c'e' mai tempo di consultare.
    Queste benedette patch anziche' metterle a destra ed a manca perche' non le piazzano tutte su windowsupdate?.


    E qui mi fermo.

    ciao


    non+autenticato


  • - Scritto da: Merlino
    > Quando leggo queste notizie mi si drizzano i
    > capelli in testa!
    > Ma come ?possibile?
    > Exchange non costa 100.000 Lire...

    errare e umano lamentarsi di problemi altrui e sempre da umani
    non+autenticato