Windows Media Player, skin al buco

Il player multimediale di Microsoft inciampa di nuovo sul sistema di gestione delle skin applicabili al player, che potrebbero nascondere insidiosi quanto pericolosi script Java in grado di eseguire programmi

Windows Media Player, skin al bucoWeb - Il celeberrimo cacciatore di bachi Georgi Guninski stavolta ha scovato una voragine nel Windows Media Player, una falla di sicurezza legata alla gestione delle skin, falla che quelli di SecurityFocus classificano ad "alto rischio".

Un aggressore potrebbe sfruttare questa vulnerabilità per prendere il pieno possesso del computer vittima attraverso l'esecuzione arbitraria di qualsiasi file presente sulla macchina.

Il problema, come si è detto, sta nelle skin del WMP 7, contenute in una directory conosciuta con un nome conosciuto: uno di questi file scaricato da Internet potrebbe in realtà celare un'applet Java che, una volta eseguita attraverso Internet Explorer, potrebbe avere accesso in lettura ai file locali consentendo nello stesso tempo l'esecuzione di un qualsiasi programma.
In attesa di una patch, Microsoft ha consigliato di disabilitare temporaneamente dalla voce "Protezione" delle opzioni di Internet Explorer l'esecuzione di contenuti Java non firmati.

Non è la prima volta che il sistema delle skin mostra debolezze: un problema molto simile era già stato segnalato lo scorso novembre, quando Microsoft dovette rilasciare due patch, una per la versione 7 e una per la versione 6.4 del suo media player.
TAG: microsoft
10 Commenti alla Notizia Windows Media Player, skin al buco
Ordina
  • Mi ricordo quando Sun tiro' fuori Java. Si parlo' molto della sicurezza di questo linguaggio per fare applet. Le applet invece si rivelano poi un mezzo per colpire su qualsiasi piattaforma.
    non+autenticato
  • - Scritto da: Op
    > Mi ricordo quando Sun tiro' fuori Java. Si
    > parlo' molto della sicurezza di questo
    > linguaggio per fare applet.
    Appunto il linguaggio, ma poi anche la runtime java deve essere implementata bene, quella di IE forse non lo è...

    > Le applet invece
    > si rivelano poi un mezzo per colpire su
    > qualsiasi piattaforma.

    Non è vero.
    non+autenticato
  • Ma a voi e' mai capitato di avere problemi con programmi Java realizzati da malintenzionati?

    Questa storia dei bugs somiglia un po' a quella della mucca pazza: tanto fumo e poco arrosto.

    Ovvero: e' piu' l'allarmismo che si crea attorno a queste situazioni, che la probabilita' vera che questi avvenimenti accadano. Io francamente me ne infischio, come disse Clark Gable in Via col vento.

    Paragonandolo al caso della mucca pazza, e' piu' probabile che ci venga addosso un'automobile guidata da un pirata della strada che ci venga la BSE! Eppure guardate i telegiornali! Tre quarti dell'edizione dedicati a 'sta mucca pazza, pochi minuti sulla politica estera e di quello che accade nel paese neanche un cenno (a parte la mucca ovviamente). Non ci dicono ad esempio che oggi ci sono stati almeno trenta incidenti mortali. Altro che morbo della mucca pazza! Gli incidenti non fanno notizia!

    Morale della favola: e' certmente utile sapere che Guninski fa il suo dovere di rompiballe, ma siccome non ho mai avuto nessun problema non do tanto peso a 'ste notizie, e me ne vado al cercarne altre piu' interessanti.
    non+autenticato


  • - Scritto da: Max
    [...]
    > Paragonandolo al caso della mucca pazza, e'
    > piu' probabile che ci venga addosso
    > un'automobile guidata da un pirata della
    > strada che ci venga la BSE! Eppure guardate
    > i telegiornali! Tre quarti dell'edizione
    > dedicati a 'sta mucca pazza, pochi minuti
    > sulla politica estera e di quello che accade
    > nel paese neanche un cenno (a parte la mucca
    > ovviamente). Non ci dicono ad esempio che
    > oggi ci sono stati almeno trenta incidenti
    > mortali. Altro che morbo della mucca pazza!
    > Gli incidenti non fanno notizia!
    Ma cosa dici ??????
    Hai idea di cosa accadrebbe se si ignorasse il problema BSE??

    > Morale della favola: e' certmente utile
    > sapere che Guninski fa il suo dovere di
    > rompiballe, ma siccome non ho mai avuto
    > nessun problema non do tanto peso a 'ste
    > notizie, e me ne vado al cercarne altre piu'
    > interessanti.
    Ricorda che per trasformare i problemi in disastri la prima cosa da fare e' ignorarli.
    non+autenticato
  • - Scritto da: Max
    > Ma a voi e' mai capitato di avere problemi
    > con programmi Java realizzati da
    > malintenzionati?
    >
    > Questa storia dei bugs somiglia un po' a
    > quella della mucca pazza: tanto fumo e poco
    > arrosto.
    >
    Hai ragione. Mi fa veramente piacere sentire che c'e' qualcuno, come te, che non si fa prendere da questi facili allarmismi.
    Perchè non metti il tuo indirizzo e-mail, così ti mando un messaggio con in attachment un bel salvaschermo carino?
    E' divertentissimo, ti assicuro...

    non+autenticato


  • - Scritto da: Op
    > Mi ricordo quando Sun tiro' fuori Java. Si
    > parlo' molto della sicurezza di questo
    > linguaggio per fare applet. Le applet invece
    > si rivelano poi un mezzo per colpire su
    > qualsiasi piattaforma.

    Ma ti sembra normale usare Java per gestire delle Skin????
    non+autenticato


  • - Scritto da: Op
    > Mi ricordo quando Sun tiro' fuori Java. Si
    > parlo' molto della sicurezza di questo
    > linguaggio per fare applet.

    In realtà, secondo me, esiste una confusione tra applet e applicazioni Java, le applet, normalmente, non possono scrivere su HD,mentre gli applicativi si, questo però dipende molto dalla Java Virtual Machine implementata nel browser, che se è bacata non mantiene il livello di sicurezza necessario.

    Keper
    non+autenticato


  • - Scritto da: Op
    > Mi ricordo quando Sun tiro' fuori Java. Si
    > parlo' molto della sicurezza di questo
    > linguaggio per fare applet. Le applet invece
    > si rivelano poi un mezzo per colpire su
    > qualsiasi piattaforma.

    Java di per sè è sicuro perchè non permette l'accesso al file system. Di fatto le brutte implementazioni di microsoft (la jvm) nascondono buchi non legati a java, appunto, ma alla cattiva gestione della virtual machine.
    non+autenticato
  • E' più forte di loro, alla Microsoft non riescono a non creare programmi che dopo due mesi svelino autostrade per i malintenzionati; pochi mesi fa è venuta fuori quella falla-voragine di Outlook (sia Express che no) che permetteva l'esecuzione di comandi senza neanche aprire l'email, semplicemente scaricando l'intestazione del messaggio: non è stato lavoro facile, ma ci sono riusciti; ora, però si sono superati, permettendo a quella che dovrebbe essere solo una bitmap (come ad esempio avviene in Winamp) di creare un problema di sicurezza di tale portata.
    Ora mi aspetto qualcosa anche dal tappetino del mouse.
    non+autenticato
  • Hihihi perché non lo sai che utilizzando Mouse Microsoft rischi di veder mangiata la tua mano??A bocca apertaDD ce' un baco nella gestione della porta PS2 che praticamentep permetterebbe ad un malintenzionato di far spuntare una bella tigre che ti mangia la manoA bocca apertaD
    "Dove vuoi andare oggi?"
    All'ospedale!!A bocca apertaDDD

    - Scritto da: Corrado
    > E' più forte di loro, alla Microsoft non
    > riescono a non creare programmi che dopo due
    > mesi svelino autostrade per i
    > malintenzionati; pochi mesi fa è venuta
    > fuori quella falla-voragine di Outlook (sia
    > Express che no) che permetteva l'esecuzione
    > di comandi senza neanche aprire l'email,
    > semplicemente scaricando l'intestazione del
    > messaggio: non è stato lavoro facile, ma ci
    > sono riusciti; ora, però si sono superati,
    > permettendo a quella che dovrebbe essere
    > solo una bitmap (come ad esempio avviene in
    > Winamp) di creare un problema di sicurezza
    > di tale portata.
    > Ora mi aspetto qualcosa anche dal tappetino
    > del mouse.
    non+autenticato