MS avvisa di una falla non patchata

Il bug espone gli utenti al rischio di subire attacchi di denial of service. In questi giorni circola anche un exploit che prende di mira gli utenti Flash

Redmond (USA) - Microsoft ha avvisato i propri utenti della presenza, su Internet, di un codice proof of concept capace di sfruttare una falla di sicurezza ancora non corretta di Windows 2000 e Windows XP con Service Pack 1.

Microsoft ha spiegato che la vulnerabilitÓ Ŕ contenuta nell'implementazione del protocollo Remote Procedure Call (RPC) e "pu˛ consentire ad un aggressore di lanciare un attacco di tipo denial of service di durata limitata". La gravitÓ della falla Ŕ piuttosto modesta, questo anche considerando che non affligge gli utenti di Windows XP SP2 e Windows Server 2003 e che pu˛ essere sfruttata da un utente anonimo solo in Windows 2000. Tuttavia, a preoccupare gli esperti interviene il fatto che attualmente non esiste ancora una patch: il big di Redmond sottolinea comunque come, specie nelle aziende, la porta RPC dovrebbe essere normalmente filtrata da un firewall.

"Al momento Microsoft non Ŕ a conoscenza di sistemi compromessi a causa di questa vulnerabilitÓ", ha spiegato il gigante del software nel proprio advisory. "In ogni caso, Microsoft sta attivamente monitorando la situazione per tenere i propri utenti informati e fornire loro, se necessario, i suggerimenti del caso".
Il FrSIRT ha valutato il livello di pericolositÓ dell'exploit in "moderato". Questo non Ŕ l'unico exploit a cui gli utenti di Windows debbano porre attenzione in questo periodo. Lo scorso fine settimana Ŕ infatti apparso su Internet un altro codice dimostrativo capace di far leva su di una recente vulnerabilitÓ contenuta in alcune versioni del Flash Player: l'exploit genera un file ".swf" che, una volta aperto, manda in crash il player, ma gli esperti temono che l'exploit possa essere modificato per eseguire del codice dannoso.

Negli scorsi giorni Microsoft ha annunciato di aver stipulato accordi con tre societÓ, Cyota, Internet Identity e MarkMonitor, che la aiuteranno a rendere i propri sistemi anti-phishing pi¨ efficienti. Le nuove partner forniranno infatti al big di Redmond informazioni sugli attacchi di phishing rilevati on-line, dati che verranno utilizzati nello Phishing Filter, il sistema anti-phishing integrato nella MSN Search Toolbar e in Internet Explorer 7, e nella tecnologia SmartScreen, utilizzata invece in Hotmail e Windows Live Mail.
TAG: sicurezza
34 Commenti alla Notizia MS avvisa di una falla non patchata
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)