Allarme sicurezza in Windows XP

Il nuovo sistemone di Microsoft Ŕ afflitto da una grave vulnerabilitÓ. Patch super raccomandata

Milano - Microsoft ha rilasciato oggi una patch che corregge quello che gli esperti di sicurezza considerano la pi¨ grave falla di sicurezza mai scoperta fino ad oggi nel giovane Windows XP. Sufficientemente grave da spingere Microsoft a distribuire prontamente comunicati stampa ed a pubblicare un link alla patch direttamente dalla propria home page.

Il capo della sicurezza della societÓ di Redmond, Scott Culp, ha esortato "ogni utente di Windows XP ad intervenire immediatamente" per rimediare a quella che ha definito "una vulnerabilitÓ estremamente seria".

Secondo quanto riporta Microsoft nel suo bollettino di sicurezza, "la vulnerabilitÓ riscontrata in Windows XP Ŕ stata causata da un buffer non sottoposto a controllo all?interno di una sezione del codice del servizio Universal Plug and Play (UPnP - architettura che consente di collegare in una rete peer-to-peer il PC ad altri dispositivi, NdR), installato in maniera nativa nel nuovo sistema operativo".
"Ci˛ potrebbe consentire a un hacker da remoto - spiega in un comunicato Microsoft - di lanciare un overrun buffer per sovrascrivere il codice del programma". Di conseguenza, per le versioni client del sistema operativo, il rischio Ŕ quello che un cracker possa prendere il pieno controllo del sistema.

Secondo Microsoft il problema potrebbe riguardare anche i clienti di Windows Millennium qualora fosse stato installato il servizio UPnP e Microsoft Windows 98 solo se Ŕ stata installata la Internet Connection Sharing distribuita con Windows XP. In questo caso per˛ la falla Ŕ stata considerata di medio rischio.

La vulnerabilitÓ Ŕ stata scoperta cinque settimane fa da un gruppo di esperti di sicurezza di Eye Digital Security capeggiato dall'ex hacker Marc Maiffret, di 21 anni.

"E' un problema serissimo - ha commentato Maiffret - visto che un hacker potrebbe riformattare il disco rigido e copiare tutto ci˛ che si digita sulla tastiera".

Il link alla patch Ŕ raggiungibile anche dalla home page di Microsoft Italia mentre il bollettino di sicurezza Ŕ disponibile qui.
TAG: sicurezza
287 Commenti alla Notizia Allarme sicurezza in Windows XP
Ordina
  • Non comprate windows xp,per carità...benefattore anonimo
    non+autenticato
  • da prima che uscisse windows 2000 nel 2000
    linux permette (ed era uno dei pochi) il montaggio di filesystem remoti ed adirrittura il mongaggio del pc remoto

    NTFS 5 permette appunto questo e anche l'mmc.exe ma non e una violazione del brevetto di chi c'era prima ?

    mi sorge una domanda
    ma chi contolla dato che windows non e' aperto se i probrammatori di microsoft implementano del codice gpl o del codice (che deve essere fornito all'utente) vedi protocollo IP e che microsoft adatta alle sue esigenze

    Ma una perizia legale sul codice sorgente di windows e possibile secondo voi ?

    l'unico modo per fermare il monopolio e' aprire alla concorrenza !

    P.S.
    Win 2000 i bsod li da (e senza motivo)
    rari ma presenti (il tempo di uptime non posso provarlo lo rivvio spesso)
    Win xp mi pare una schifezza (non dalla parte grafica)
    PPS
    Ma gli standard a che servono se MIcrosoft non li rispetta ??
    Posso vendere una cosa che non rispetta gli standard (quindi non omologata) ?
    a quanto pare si
    non+autenticato
  • Beh, mi sembrava strano ke il nuovo "efficentissimo prodotto" della Microsozz era privo di falle sotto il punto di vista della sicurezza. Ora oltre a pasticciare con le immagini permette ancke il controllo da remoto...
    OTTIMO!

    Microsoft: quando non 6 mai sicuro di aver toccato il fondo!
    non+autenticato
  • > Microsoft: quando non 6 mai sicuro di aver
    > toccato il fondo!
    sai e una PROFONDA experience
    ;-0)
    non+autenticato
  • From: Georgi Guninski <guninski@guninski.com>
    To: Bugtraq <BUGTRAQ@SECURITYFOCUS.COM>
    Reply-To: guninski@guninski.com
    Subject: IE GetObject() problems
    X-Mailer: Mozilla 4.79 [en] (X11; U; Linux 2.4.2-2 i686)
    X-Accept-Language: en

    Georgi Guninski security advisory #52, 2001

    IE GetObject() problems

    Systems affected:
    Patched IE 6.0, somewhat patched 5.5 Win2K

    Risk: High
    Date: 1 January 2002

    Description:

    IE allows reading local files due to a bug in GetObject().
    Reading local files may lead to executing arbitrary programs.

    Details:

    GetObject() has a bad security record -
    check http://www.guninski.com/browsers.html
    The new bug is quite similar to:
    http://www.guninski.com/getobject1-desc.html
    the difference being:
    ----------------------
    a=GetObject("http://+location.host+/../../../../../../test.txt,...");
    ----------------------
    It is funny that directory traversal on a http: URL leads to reading local files.

    Workaround/Solution:

    Disable Active Scripting and never turn it on.
    Better, do not use IE in hostile environments such as the internet.

    Vendor status:

    Microsoft was notified on 11 December 2001.
    They had 3 weeks to produce a patch but didn't.

    ----------------------------

    3 settimane e niente patch...

    un coro li seppellira'

    BUFFONIIIIIIIIIIIIIIIIIIIIIIII!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    non+autenticato
  • - Scritto da: munehiro
    > 3 settimane e niente patch...


    Dimentichi che ci sono le ferie in questo periodo...


    Zeross
    non+autenticato


  • - Scritto da: Zeross
    > - Scritto da: munehiro
    > > 3 settimane e niente patch...
    >
    >
    > Dimentichi che ci sono le ferie in questo
    > periodo...

    il baco e' stato segnalato l'11 dicembre.
    quindi piu' di 10 giorni non di ferie per patchare. e cmq scusami sai.. ma non credo che il 23 dicembre microsoft chiuda e se ne vadano tutti a casa...

    buffoniiiiiiiiiiiiiiiiiiii
    non+autenticato
  • - Scritto da: munehiro
    > il baco e' stato segnalato l'11 dicembre.
    > quindi piu' di 10 giorni non di ferie per
    > patchare. e cmq scusami sai.. ma non credo
    > che il 23 dicembre microsoft chiuda e se ne
    > vadano tutti a casa...


    Sono 9 giorni lavorativi per arrivare al fine settimana di Natale.

    Non so loro, ma vedo cosa succede qui da noi.
    Io ho fatto ferie solo il 24 e il 31, però al lavoro non posso fare poi più di tanto in questi giorni... vuoi perchè i tester sono parte in ferie e parte lavorano ad altre cose, vuoi perchè i colleghi con i quali devo lavorare sono in ferie fino al 7... insomma, ci sono molte cose da considerare.
    Infatti in questi giorni non rilasciamo nessun nuovo prodotto, patch o altro.


    Zeross
    non+autenticato
  • - Scritto da: Zeross
    > - Scritto da: munehiro
    > > il baco e' stato segnalato l'11 dicembre.
    > > quindi piu' di 10 giorni non di ferie per
    > > patchare. e cmq scusami sai.. ma non credo
    > > che il 23 dicembre microsoft chiuda e se
    > ne
    > > vadano tutti a casa...
    >
    >
    > Sono 9 giorni lavorativi per arrivare al
    > fine settimana di Natale.
    >
    > Non so loro, ma vedo cosa succede qui da noi.
    > Io ho fatto ferie solo il 24 e il 31, però
    > al lavoro non posso fare poi più di tanto in
    > questi giorni... vuoi perchè i tester sono
    > parte in ferie e parte lavorano ad altre
    > cose, vuoi perchè i colleghi con i quali
    > devo lavorare sono in ferie fino al 7...
    > insomma, ci sono molte cose da considerare.
    > Infatti in questi giorni non rilasciamo
    > nessun nuovo prodotto, patch o altro.


    eeh... ma allora sei un buffone anche tu!
    che bellezza... siamo circondati da buffoni. Peccato che invece di far ridere fanno piangere
    non+autenticato
  • - Scritto da: munehiro
    > eeh... ma allora sei un buffone anche tu!
    > che bellezza... siamo circondati da buffoni.
    > Peccato che invece di far ridere fanno
    > piangere


    Sapresti anche spiegare in cosa io sarei, a tuo parere, un buffone, o questo è chiedere troppo?


    Zeross
    non+autenticato
  • - Scritto da: Zeross
    > - Scritto da: munehiro
    > > eeh... ma allora sei un buffone anche tu!
    > > che bellezza... siamo circondati da
    > buffoni.
    > > Peccato che invece di far ridere fanno
    > > piangere
    >
    >
    > Sapresti anche spiegare in cosa io sarei, a
    > tuo parere, un buffone, o questo è chiedere
    > troppo?

    perche' ai tuoi clienti fornisci un prodotto difettoso, gli rilasci la correzione quando ti fa comodo e non lo metti nemmeno in condizione di rivolgersi ad un altro nel momento in cui necessiti urgentemente di quella correzione.

    Questo, se permetti, e' disonesto, ed e' il tipico comportamento da buffoni.

    non+autenticato
  • - Scritto da: munehiro
    > perche' ai tuoi clienti fornisci un prodotto
    > difettoso, gli rilasci la correzione quando
    > ti fa comodo e non lo metti nemmeno in
    > condizione di rivolgersi ad un altro nel
    > momento in cui necessiti urgentemente di
    > quella correzione.
    >
    > Questo, se permetti, e' disonesto, ed e' il
    > tipico comportamento da buffoni.


    L'azienda non è mia.
    Io non rilascio nulla.
    Io non decido nulla.

    Pertanto non mi ritengo certo un buffone.


    Zeross
    non+autenticato
  • - Scritto da: Zeross
    > L'azienda non è mia.
    > Io non rilascio nulla.
    > Io non decido nulla.
    >
    > Pertanto non mi ritengo certo un buffone.
    >
    >
    > Zeross
    si mal dal tuo discorso si capisce che approvi la suddetta politica quindi...Sorride
    non+autenticato
  • > Dimentichi che ci sono le ferie in questo
    > periodo...

    i cracker non hanno ferie, purtroppo... e comunque secondo te gli ospedali potrebbero rimanere sguarniti nel periodo natalizio solo perchè ci sono le ferie?
    non+autenticato
  • - Scritto da: kill -9
    > > Dimentichi che ci sono le ferie in questo
    > > periodo...
    >
    > i cracker non hanno ferie, purtroppo... e
    > comunque secondo te gli ospedali potrebbero
    > rimanere sguarniti nel periodo natalizio
    > solo perchè ci sono le ferie?


    Non mi sembra il caso di paragonare un servizio come quello ospedaliero con questa cosa, suvvia.
    E cmq anche negli ospedali hanno i loro bei regimi ridotti durante le festività.


    Zeross
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | Successiva
(pagina 1/7 - 32 discussioni)