Falla WMF, ecco la patch ufficiale

A poco più di una settimana di distanza dalla segnalazione della grave vulnerabilità legata ai file grafici WMF, Microsoft ha rilasciato una patch per le versioni ancora supportate di Windows. Nessun fix, invece, per Windows 98 e Me

Roma - Con una patch sviluppata e testata a tempo di record, il giorno della Befana Microsoft ha corretto l'ormai famosa vulnerabilità legata ai file grafici WMF (Windows Meta File). Una vulnerabilità che molti esperti di sicurezza definiscono la più seria e importante dell'ultimo anno, non fosse altro per il fatto di essere stata sfruttata da alcuni siti Web prima ancora che il problema divenisse di pubblico dominio.

La gravità della situazione ha indotto Microsoft a rilasciare l'aggiornamento con alcuni giorni di anticipo rispetto al suo tradizionale ciclo di pubblicazione delle patch. Per l'occasione il gigante di Redmond ha persino organizzato webcast in varie lingue per informare i propri utenti sui rischi legati alla vulnerabilità e sulle relative misure di protezione.

La patch per il motore di rendering di Windows viene descritta nel primo bollettino di sicurezza Microsoft dell'anno, l'MS06-001: qui si spiega che la falla interessa praticamente tutte le versioni di Windows, tuttavia la patch è disponibile esclusivamente per gli utenti di Windows 2000, XP e Server 2003. Il big di Redmond ha giustificato la scelta di non rilasciare alcuna correzione per Windows 98 e Me con il fatto che in queste piattaforme "la vulnerabilità non è critica in quanto non è stato identificato un vettore di attacco sfruttabile con un livello di gravità critico". A tal proposito va ricordato che Windows 98 e Me si trovano in quella fase del ciclo di supporto che prevede la correzione delle sole falle critiche.
Da sottolineare come la vulnerabilità venga considerata di importanza critica anche in Windows Server 2003, una piattaforma generalmente meno esposta agli attacchi rispetto a Windows XP.

"Microsoft continuerà a tenere sotto osservazione eventuali dati sugli attacchi. Finora gli attacchi sferrati per sfruttare questa falla del sistema sono stati limitati dagli sforzi compiuti per bloccare i siti Web dannosi, nonché dalla diffusione di definizioni digitali aggiornate dei virus da parte dei fornitori di soluzioni antivirus", ha dichiarato Microsoft in un recente comunicato. "Oltre a installare la patch MS06-001, gli utenti devono come sempre evitare di visitare siti Web ritenuti a rischio che potrebbero consentire l'esecuzione di codice potenzialmente nocivo".

Microsoft fornisce ulteriori informazioni sul bug in questo advisory.

E' difficile dire quanti siti Web, nelle ultime due settimane, abbiano sfruttato la falla del formato WMF, ma il loro numero potrebbe essere piuttosto elevato: attualmente l'exploit viene utilizzato, ad esempio, da diversi circuiti di siti porno e scommesse on-line. I file WMF nocivi potrebbero arrivare anche attraverso e-mail e messaggi di instant messaging.

L'Internet Storm Center (ISC), che ha dedicato al problema un'approfondita FAQ (tradotta da volontari in varie lingue, tra cui l'italiano), sottolinea come il codice dannoso contenuto all'interno di un file WMF venga eseguito da Internet Explorer in modo automatico, senza alcuna interazione da parte dell'utente: altri browser, come ad esempio Firefox e Opera, chiedono invece l'autorizzazione dell'utente. Da notare che nel caso in cui un file WMF nocivo si trovi già sull'hard disk dell'utente, per innescare la vulnerabilità è sufficiente farne un'anteprima con il file manager di Windows (Explorer).

Nel corso della scorsa settimana FrSIRT ha pubblicato il codice dell'exploit di un'altra vulnerabilità di Windows corretta a dicembre con il bollettino MS05-055. La falla interessa esclusivamente i kernel di Windows NT 4.0 e 2000 ed è stata valutata dal team francese di rischio moderato.
TAG: sicurezza
104 Commenti alla Notizia Falla WMF, ecco la patch ufficiale
Ordina
  • http://www.pcopen.it/01NET/HP/0,1254,4_ART_66814,0...

    Bello che Microsoft abbia dichiarato che "intanto causano solo attacchi DoS che al limite possono far crashare l'applicazione".
    I volponi si sono già dimenticati che l'ultima volta che la pensavano così, poi 6 mesi dopo è venuto fuori l'exploit che permetteva di eseguire anche codice da remoto (gestione javascript di explorer)

    http://punto-informatico.it/p.asp?i=56396
    non+autenticato

  • - Scritto da: Anonimo
    > http://www.pcopen.it/01NET/HP/0,1254,4_ART_66814,0
    >
    > Bello che Microsoft abbia dichiarato che "intanto
    > causano solo attacchi DoS che al limite possono
    > far crashare l'applicazione".
    > I volponi si sono già dimenticati che l'ultima
    > volta che la pensavano così, poi 6 mesi dopo è
    > venuto fuori l'exploit che permetteva di eseguire
    > anche codice da remoto (gestione javascript di
    > explorer)
    >
    > http://punto-informatico.it/p.asp?i=56396

    Hai idea di quante vulnerabilita' dos escono al giorno per qualsiasi software pubblicato?
    non+autenticato

  • Ne abbiamo idea.
    Ma sappiamo anche che l'engine del rendering grafico gestore dei formati vettoriali wmf è diffuso sul 80% dei so installati, tutti i windows da 3.00 a 2k3.
    Questo fa la differenza della pericolosità delle vulnerabilità.
    E lascia basiti il vedere che a parità di vulnerabilità Microsoft la dichiara critica da W2k in poi mentre non è classificabile come tale su w95, 98 e Me.
    Vuol dire che i so più recenti di casa Microsoft sono anche intrinsecamente meno robusti, visto che sono più deboli a parità di vulnerabilità ???
    Questo l'ho notato su molte delle vulnerabilità recenti, classificate come critiche solo da w2k in poi.
    Ma come mai l'ultimo sistema operativo, il "più sicuro mai realizzato" ha dei difetti ancora più gravi dei suoi "superati" predecessori ???
    A cosa serve allora tutto lo sbandieramento di investimenti ed impegni sulla sicurezza se poi scopriamo che lo stesso componente viene utilizzato, senza rivedere in chiave critica le sue funzionalità attive, dalla bellezza di 15 anni ??
    E come funzionano i moderni strumenti di debug dei codici se su una dll appena ricompilata escono ancora due DoS, che dovrebbero essere stati intercettati ??
    A pensar male si fa peccato, ma molte volte ci si azzecca !!!




    > Hai idea di quante vulnerabilita' dos escono al
    > giorno per qualsiasi software pubblicato?

  • - Scritto da: Anonimo
    >
    > Vulnerabilità: da Us-Cert la maglia nera a
    > Unix/Linux
    >
    > http://01net.it/01NET/HP/0,1254,0_ART_66784,00.htm

    bel tentativo di troll complimentiOcchiolino
    e' facile fare confronti cosi' e' molto facile.
    1. il codice e' opensource ed e' piu' facile riscontrare bug
    2. il software viene patchato piu' velocemente
    3. non esiste 1 sistema Gnu/Linux ed e' piu' facile per questo trovare bug diversi

    non+autenticato

  • bel metodo per ribaltere le cose, complimenti anche a te.
    Quando vi fa comodo il codice opensurce è un vantaggio perchè tanti sviluppatori lo vedono e possono correggerlo, poi però diventa uno svantaggio quando gli sviluppatori non ci hanno trovato i difetti che allora diventano bug quando li trovano altri.
    Girate la frittata come tira il vento.
    Ti do ragione però quando dice che non esiste una sola versione Gnu, ed in questo bailame a parità di kernell può succedere veramente di tutto.
    Però mi sa che non sia certo un pregio, ma piuttosto un bel difetto della filosofia open.

    > bel tentativo di troll complimentiOcchiolino
    > e' facile fare confronti cosi' e' molto facile.
    > 1. il codice e' opensource ed e' piu' facile
    > riscontrare bug
    > 2. il software viene patchato piu' velocemente
    > 3. non esiste 1 sistema Gnu/Linux ed e' piu'
    > facile per questo trovare bug diversi
    >
    non+autenticato
  • Alla faccia di chi era solito ribadire la lentezza di Microsoft nel rendere disponibili gli update per le correzioni dei bug.
    non+autenticato

  • - Scritto da: Gabryel
    > Alla faccia di chi era solito ribadire la
    > lentezza di Microsoft nel rendere disponibili gli
    > update per le correzioni dei bug.

    c'ha messo + di una settimana... Se noti, i bug di linux o firefox vengono fixati in giornata...
    non+autenticato

  • - Scritto da: Anonimo
    > c'ha messo + di una settimana... Se noti, i bug
    > di linux o firefox vengono fixati in giornata...

    c'è un tempo minimo indispensabile per sviluppare una patch. Se linux o firefox fixa in giornata è ovvio che non segue gli standard rigorosi per assicurare un minimo di qualità. E' inconcepibile rilasciare una patch in giornata per un sistema operativo e sperare che tutto funzioni liscio come l'olio.
    Poi non è vero che le patch per linux o per firefox escono in giornata, semmai escono i bollettini di sicurezza solo dopo che esiste una patch e quindi sembra che sia stata rilasciata subito.
    non+autenticato

  • - Scritto da: Anonimo

    > c'è un tempo minimo indispensabile per sviluppare
    > una patch. Se linux o firefox fixa in giornata è
    > ovvio che non segue gli standard rigorosi per
    > assicurare un minimo di qualità. E' inconcepibile
    > rilasciare una patch in giornata per un sistema
    > operativo e sperare che tutto funzioni liscio
    > come l'olio.

    No, significa solo che per Linux e Firefox c'e'
    una procedura di correzione dei problemi
    piu efficiente.

    > Poi non è vero che le patch per linux o per
    > firefox escono in giornata, semmai escono i
    > bollettini di sicurezza solo dopo che esiste una
    > patch e quindi sembra che sia stata rilasciata
    > subito.

    No, semmai su software open source e' piu frequente
    che un POTENZIALE problema venga risolto
    PRIMA che esso porti ad un exploit; vengono pure
    risolte cose che MS lascerebbe cosi come sono
    sino a quando in combinazione con qualche altro
    bug divengano una fonte di exploit a catena
    (tipo le famigerate bug ricorrenti
    riguardanti il parsing degli URL).

    Inoltre MS fa passare anche MESI
    prima di pubblicare le patch *E* di notificare
    al grande pubblico il bug risolto.

    Per i virus (biologici ed informatici) la strategia
    migliore e' la prevenzione, cosa su cui MS
    investe ancora relativamente poco rispetto agli
    sviluppatori open source, tutto li.
    non+autenticato

  • - Scritto da: Anonimo
    > No, significa solo che per Linux e Firefox c'e'
    > una procedura di correzione dei problemi
    > piu efficiente.

    in 1 giorno non si può controllare gli effetti di una patch su un intero sistema operativo, quindi evita di raccontare frottole!

    non+autenticato


  • > No, significa solo che per Linux e Firefox c'e'
    > una procedura di correzione dei problemi
    > piu efficiente.

    Ma per favore, uscire con una nuova release ogni 12 ore non e' sinonimo di efficienza... caso mai il contrario.
    Uscire con una patch dopo un giorno dalla pubblicazione significa che o si era gia a conoscenza del problema o non si e' testato abbastanza.
    Con il kernel di linux questo e' la regola infatti dopo una release esce quella che corregge i bug inseriti nella release precedente.


    > No, semmai su software open source e' piu
    > frequente
    > che un POTENZIALE problema venga risolto
    > PRIMA che esso porti ad un exploit; vengono pure
    > risolte cose che MS lascerebbe cosi come sono

    Palle... basta leggere i readme, i potenziali problemi vengono accantonati per risolvere quelli piu' gravi. Sia nell'open source che nel closed.

    > Inoltre MS fa passare anche MESI
    > prima di pubblicare le patch *E* di notificare
    > al grande pubblico il bug risolto.

    Che e' la procedura di tutte le software house che implementano un controllo qualita'.

    > Per i virus (biologici ed informatici) la
    > strategia
    > migliore e' la prevenzione, cosa su cui MS
    > investe ancora relativamente poco rispetto agli
    > sviluppatori open source, tutto li.

    Prevenzione di che? Esistono team di programmatori opensource che cercano exploit?
    non+autenticato
  • - Scritto da: Anonimo

    > > No, significa solo che per Linux e Firefox c'e'
    > > una procedura di correzione dei problemi
    > > piu efficiente.
    >
    > Ma per favore, uscire con una nuova release ogni
    > 12 ore non e' sinonimo di efficienza... caso mai
    > il contrario.
    > Uscire con una patch dopo un giorno dalla
    > pubblicazione significa che o si era gia a
    > conoscenza del problema o non si e' testato
    > abbastanza.
    > Con il kernel di linux questo e' la regola
    > infatti dopo una release esce quella che corregge
    > i bug inseriti nella release precedente.
    >
    >
    > > No, semmai su software open source e' piu
    > > frequente
    > > che un POTENZIALE problema venga risolto
    > > PRIMA che esso porti ad un exploit; vengono pure
    > > risolte cose che MS lascerebbe cosi come sono
    >
    > Palle... basta leggere i readme, i potenziali
    > problemi vengono accantonati per risolvere quelli
    > piu' gravi. Sia nell'open source che nel closed.
    >
    > > Inoltre MS fa passare anche MESI
    > > prima di pubblicare le patch *E* di notificare
    > > al grande pubblico il bug risolto.
    >
    > Che e' la procedura di tutte le software house
    > che implementano un controllo qualita'.
    >
    > > Per i virus (biologici ed informatici) la
    > > strategia
    > > migliore e' la prevenzione, cosa su cui MS
    > > investe ancora relativamente poco rispetto agli
    > > sviluppatori open source, tutto li.
    >
    > Prevenzione di che? Esistono team di
    > programmatori opensource che cercano exploit?

    Mha... Eppure a vedere i risultati...

    http://secunia.com/product/22
    http://secunia.com/product/2719
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Gabryel
    > > Alla faccia di chi era solito ribadire la
    > > lentezza di Microsoft nel rendere disponibili
    > gli
    > > update per le correzioni dei bug.
    >
    > c'ha messo + di una settimana... Se noti, i bug
    > di linux o firefox vengono fixati in giornata...

    Cazzata... ci hanno messo 3 mesi per l'ultima vulnerabilita' critica di firefox. Mentre con linux per ogni baco che tolgono ne aggiungono 10 nuovi...
    non+autenticato
  • Microsoft in solo tre giorni e' riuscita ad avere la patch per la gravissima falla del proprio sistema ops... ...di windows!


    E io che dubitavo.

    Grazie Befana.
  • http://blogs.securiteam.com/index.php/archives/176
    come si fa a pensare di progettare un formato video cosi' non lo so..
    Qua non e' un bug a livello di overflow o simili ma proprio per come e' concepito il wmf!
    come si fa dico io a mettere lapossibilita'
    "se errore allora esegui" e poter scegliere cosa eseguire..
    Geniale..
    Ma come le pensano ste cose?
    E chi le pensa? topo gigio?
    non+autenticato
  • Uè topo gigio
    WMF aka Windows Metafile non è un formato video ma un'immagine vettoriale ed è rimasto praticamente immutato dai tempi di win 3.0. E' sorprendente piuttosto che solo ora qualche hacker si sia accorto dei limiti di tale vecchio formato.
    non+autenticato

  • - Scritto da: Anonimo
    > Uè topo gigio
    > WMF aka Windows Metafile non è un formato video
    > ma un'immagine vettoriale ed è rimasto
    > praticamente immutato dai tempi di win 3.0. E'
    > sorprendente piuttosto che solo ora qualche
    > hacker si sia accorto dei limiti di tale vecchio
    > formato.
    per la verita' di quando in quando se ne (ri)accorgono.. infatti non e' il primo buco che viene trovato legato a WMF..
    La cosa sorprendente e' che M$ si porti dietro l'eredita' di oggetti pensati e sviluppati in un'altra ERA informatica...
    non e' certo l'unico caso... mai guardato ,x es , il mitico packager.exe ? (si dentro XP intendo.. non in Win 3.1)
    Si possono fare meraviglie con quella ciofeca di tecnologia (OLE poi ha cambiato nome 30 volte ma sempre quella e')... gia l'help ne suggerisce di interessanti (guardare alle voci 'creare un pacchetto contentente un file' o 'inserire un comando msdos in un file').
    non+autenticato

  • - Scritto da: Anonimo
    > La cosa sorprendente e' che M$ si porti dietro
    > l'eredita' di oggetti pensati e sviluppati in
    > un'altra ERA informatica...
    > non e' certo l'unico caso... mai guardato ,x es ,
    > il mitico packager.exe ? (si dentro XP intendo..
    > non in Win 3.1)
    > Si possono fare meraviglie con quella ciofeca di
    > tecnologia (OLE poi ha cambiato nome 30 volte ma
    > sempre quella e')... gia l'help ne suggerisce di
    > interessanti (guardare alle voci 'creare un
    > pacchetto contentente un file' o 'inserire un
    > comando msdos in un file').

    se per questo in linux ci sono rottami da tutte le parti, ci sono ancora concetti primitivi usati degli anni '70 e altre schifezze e meccanismi che ancora linux si porta dietro come retaggio del passato. Linux è peggio che Windows sotto questo punto di vista.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > La cosa sorprendente e' che M$ si porti dietro
    > > l'eredita' di oggetti pensati e sviluppati in
    > > un'altra ERA informatica...
    > > non e' certo l'unico caso... mai guardato ,x es
    > ,
    > > il mitico packager.exe ? (si dentro XP intendo..
    > > non in Win 3.1)
    > > Si possono fare meraviglie con quella ciofeca di
    > > tecnologia (OLE poi ha cambiato nome 30 volte ma
    > > sempre quella e')... gia l'help ne suggerisce di
    > > interessanti (guardare alle voci 'creare un
    > > pacchetto contentente un file' o 'inserire un
    > > comando msdos in un file').
    >
    > se per questo in linux ci sono rottami da tutte
    > le parti, ci sono ancora concetti primitivi usati
    > degli anni '70 e altre schifezze e meccanismi che
    > ancora linux si porta dietro come retaggio del
    > passato. Linux è peggio che Windows sotto questo
    > punto di vista.
    sara' ma almeno e' sicuro e pensato con criterio.
    Un WMF pensato in quel modo e' scandaloso.

    non+autenticato

  • > sara' ma almeno e' sicuro e pensato con criterio.
    > Un WMF pensato in quel modo e' scandaloso.

    Cosa? Unix? In quale film? FTP, telnet dicono niente?
    non+autenticato
  • - Scritto da: Anonimo
    > se per questo in linux ci sono rottami da tutte
    > le parti, ci sono ancora concetti primitivi usati
    > degli anni '70 e altre schifezze e meccanismi che
    > ancora linux si porta dietro come retaggio del
    > passato. Linux è peggio che Windows sotto questo
    > punto di vista.

    Se una cosa è ben progettata fin dall'inizioe funziona bene, questo non è un problema.

    Le "schifezze e i meccanismi" che dici tu sono più un concetto adatto per Microsoft.
    non+autenticato

  • - Scritto da: Anonimo
    > Se una cosa è ben progettata fin dall'inizioe
    > funziona bene, questo non è un problema.

    anche i migliori progetti possono avere un bug
    non+autenticato
  • Esempio classico il mitico vi A bocca aperta O lo sai usare bene i fa venire solo una crisi di nervi usarlo
    non+autenticato

  • - Scritto da: Anonimo
    > Esempio classico il mitico vi A bocca aperta O lo sai usare
    > bene i fa venire solo una crisi di nervi usarlo
    si ma non esiste solo "vi"
    esistono anche tanti altri editor ..
    Commento stupido che poi non so come puo' centrare con il bug vistoso di progettazione dei WMF.
    non+autenticato

  • - Scritto da: Anonimo
    > Uè topo gigio
    > WMF aka Windows Metafile non è un formato video
    > ma un'immagine vettoriale ed è rimasto
    > praticamente immutato dai tempi di win 3.0. E'
    > sorprendente piuttosto che solo ora qualche
    > hacker si sia accorto dei limiti di tale vecchio
    > formato.

    caro mio cambia poco..
    si ho sbagliato ma e' come e' concepito che e' da deficienti..
    Non cerchiamo di cambiare orientamento alla cosa che dovrebbe invece avere un certo peso e mettere in luce su come le cose vengono fatte da Microsoft
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)