Spiffero per cracker in MSN Messenger

Alcune versioni dello sparamessaggini Microsoft sono afflitte da un baco grave. Una breccia attraverso cui potrebbe passare un cracker

Redmond (USA) - Ieri Microsoft ha divulgato un nuovo advisory di sicurezza in cui descrive una falla nel suo software di instant messaging che, in taluni casi, potrebbe consentire ad un cracker di prendere il controllo del computer dell'utente. Microsoft ha classificato questa vulnerabilità come "critica" sui sistemi client.

Secondo il bollettino di Microsoft, il problema risiede nel controllo ActiveX denominato "MSN Chat", un componente che consente lo scambio di messaggi testuali fra gruppi di utenti. Il controllo, scaricabile come singolo ActiveX da un certo numero di siti Microsoft, è integrato in MSN Messenger ed Exchange Instant Messenger, entrambi a partire dalla versione 4.5.

Il baco, scoperto dalla società di sicurezza eEye Security, consiste in un buffer overflow contenuto in una funzione che, all'interno del controllo MSN Chat, gestisce alcuni parametri in entrata. eEye sostiene basti inviare un URL fatto in un certo modo, e passato attraverso una e-mail o una pagina HTML, perché un aggressore possa avere accesso al computer dell'utente.
Microsoft sottolinea che gli utenti di Outlook Express 6.0 e tutti coloro che hanno installato l'Outlook Email Security Update non sono vulnerabili ad un attacco via e-mail. A quanto pare possono dormire sonni tranquilli anche gli utenti di Windows XP, visto che il big di Redmond afferma che la versione di MSN Messenger integrata in questo sistema operativo non include il famigerato controllo ActiveX. A meno che - afferma sempre Microsoft - l'utente non abbia scelto di scaricarlo dal sito di MSN.

Microsoft invita i propri utenti a scaricare la patch oppure le versioni aggiornate dei propri software di instant messaging da qui.

Proprio pochi giorni fa era emerso un altro baco, ancora non corretto da Microsoft, che può causare il crash di MSN Messenger...
TAG: sicurezza
21 Commenti alla Notizia Spiffero per cracker in MSN Messenger
Ordina
  • ma sbaglio o se n'è parlato già abbondantemente di come disinstallarlo?
    non+autenticato
  • NON E SOLO MS CHE FA PROGR BACATI, prendi un progr qualunque di una societa che odi, lo sottoponi alle prove più assurde (input strani, imposizioni del pensiero, gli fai vedere una programma nuda) ed ecco li er buco e truvato, poi confezioni l' exploit lo pubblichi, crei il programma per fermarlo e ai fatto i soldi (eEye Security fa questo usando tecnici pagati a posta) oppure ai gettato fango addosso ad un'azienda, o al movimento (e qui intendo anche i movimenti open sorcio) che vuoi colpire.

    si sviluppa la tecnica ma i metodi comunisti rimangono.
    non+autenticato


  • - Scritto da: comunist
    > NON E SOLO MS CHE FA PROGR BACATI, prendi un
    > progr qualunque di una societa che odi, lo
    > sottoponi alle prove più assurde (input
    > strani, imposizioni del pensiero, gli fai
    > vedere una programma nuda) ed ecco li er
    > buco e truvato,

    Prova a Grattare Grattare qmail o TeX...
    (che poi hai anche i sorgenti, quindi dovrebbe essere anche piu` facile)
    non+autenticato


  • - Scritto da: stupito
    ...
    > Prova a Grattare Grattare qmail o TeX...

    Chi è che dovrebbe grattare ?!?!? Sorride
    non+autenticato


  • - Scritto da: TeX
    >
    >
    > - Scritto da: stupito
    > ...
    > > Prova a Grattare Grattare qmail o TeX...
    >
    > Chi è che dovrebbe grattare ?!?!? Sorride
    ROTFL
    Ce l'hanno tutti con te, prima ti rubano il nick, ora ti vogliono anche _grattare_ Sorride)
    non+autenticato


  • - Scritto da: lullaby
    >
    >
    > - Scritto da: TeX
    ....
    > > Chi è che dovrebbe grattare ?!?!? Sorride
    > ROTFL
    > Ce l'hanno tutti con te, prima ti rubano il
    > nick, ora ti vogliono anche _grattare_ Sorride)

    Mah... che mondo !!!!!
    non+autenticato


  • - Scritto da: TeX
    >
    >
    > - Scritto da: stupito
    > ...
    > > Prova a Grattare Grattare qmail o TeX...
    >
    > Chi è che dovrebbe grattare ?!?!? Sorride

    giusto... chi e' che dovrebbe grattare ??
    non+autenticato


  • - Scritto da: qmail
    >
    >
    > - Scritto da: TeX
    > >
    > >
    > > - Scritto da: stupito
    > > ...
    > > > Prova a Grattare Grattare qmail o
    > TeX...
    > >
    > > Chi è che dovrebbe grattare ?!?!? Sorride
    >
    > giusto... chi e' che dovrebbe grattare ??

    ROTFL !!!

    Eddai !! Non potete scherzare sulle tragedie degli altri !!!!

    (chi usa software m$ !!!)

    eh eh eh !!!
    non+autenticato
  • uauaauuaaua
    wiwa il mirc e icq
    non+autenticato
  • memorizzare dati inviati dall'esterno quindi ogni programma e sogetto a sforare i buffer che contiene.
    basta prendere un progr. win o linux masturbare l'input a dovere ed ecco qui er gioco e fatto.

    il solito linuxaro dira si ma questo buco e grave
    mette a rischio ecc.. tengo a precisare che nel mondo open casi ben più gravi sono apparsi nell'ultimI tempI (qui minacciati erano server),
    ad esempio il demone TELNETd (so AFFETTI NETbsd, FREEbsd, bsdi, SOLARIS ECC..).

    quindi ricordiamoci di ciò ed evitiamo di fare polemica su cose che sono inevitabili come la morte e sicuramente non PREROGATIVA DI ms.
    non+autenticato


  • - Scritto da: GRATTA
    > quindi ogni programma e sogetto a sforare i
    > buffer che contiene.

    Cambia "ogni programma" con "ogni programma scritto male". Se hai voglia di vincere qualche decina di migliaia di Euro, gratta gratta il codice di qmail ...

    > tengo a precisare che
    > nel mondo open casi ben più gravi sono
    > apparsi nell'ultimI tempI (qui minacciati
    > erano server),
    > ad esempio il demone TELNETd (so AFFETTI
    > NETbsd, FREEbsd, bsdi, SOLARIS ECC..).

    Un esempio ? Hai porta UN esempio solo ? Ma va' la' !

    > quindi ricordiamoci di ciò ed evitiamo di
    > fare polemica su cose che sono inevitabili
    > come la morte e sicuramente non PREROGATIVA
    > DI ms.

    Leggendo securityfocus, mi pare proprio di si ...
    non+autenticato


  • - Scritto da: GRATTA
    > memorizzare dati inviati dall'esterno quindi
    > ogni programma e sogetto a sforare i buffer
    > che contiene.

    Se non usi funzioni bacate questo non succede.

    > il solito linuxaro dira si ma questo buco e
    > grave
    > mette a rischio ecc.. tengo a precisare che
    > nel mondo open casi ben più gravi sono
    > apparsi nell'ultimI tempI (qui minacciati
    > erano server),

    Come se i server di M$ non avessero bachi...

    > ad esempio il demone TELNETd (so AFFETTI
    > NETbsd, FREEbsd, bsdi, SOLARIS ECC..).

    chi è cosi scemo da usare ancora telnetd se lo merita lo script kiddie di turno che gli brucia l'HD. Esiste una cosetta chiamata SSH

    > quindi ricordiamoci di ciò ed evitiamo di
    > fare polemica su cose che sono inevitabili
    > come la morte e sicuramente non PREROGATIVA
    > DI ms.

    E' ovvio che i bug esistano, ma alla M$ i bug sono molti e vengono patchati dopo mesi...Riguardo alla sicurezza non c'è che dire: la comunità OpenSource è più attiva
    non+autenticato


  • - Scritto da: nom
    >
    >
    > - Scritto da: GRATTA
    > > memorizzare dati inviati dall'esterno
    > quindi
    > > ogni programma e sogetto a sforare i
    > buffer
    > > che contiene.
    >
    > Se non usi funzioni bacate questo non
    > succede.
    >
    > > il solito linuxaro dira si ma questo buco
    > e
    > > grave
    > > mette a rischio ecc.. tengo a precisare
    > che
    > > nel mondo open casi ben più gravi sono
    > > apparsi nell'ultimI tempI (qui minacciati
    > > erano server),
    >
    > Come se i server di M$ non avessero bachi...
    >
    > > ad esempio il demone TELNETd (so AFFETTI
    > > NETbsd, FREEbsd, bsdi, SOLARIS ECC..).
    >
    > chi è cosi scemo da usare ancora telnetd se
    > lo merita lo script kiddie di turno che gli
    > brucia l'HD. Esiste una cosetta chiamata SSH

    bravo se non erro usando proprio un buco di SSH un hacher (anche non troppo bravo ) e entrato in un server dove viniva conservato il codice di apache per lo sviluppo (se fosse stato più bravo un bel cavallo di troia e addio a centinaia di server su cui quel codice veniva installato)

    Se devi fare degli esempi falli bene pir**

    non+autenticato


  • - Scritto da: pir**
    >
    > bravo se non erro usando proprio un buco di
    > SSH un hacher (anche non troppo bravo ) e
    > entrato in un server dove viniva conservato
    > il codice di apache per lo sviluppo (se
    > fosse stato più bravo un bel cavallo di
    > troia e addio a centinaia di server su cui
    > quel codice veniva installato)

    E lo sai in dettaglio come ci è entrato?
    Mediante un bug presente sul demone ssh del server, corretto nelle versione 2.3.0 del demone (non installata dal sysadmin del server di Apache)
    La colpa è chiaramente da attribuirsi al sysadmin scemo di apache.org, che non si è letto advisory e le relativa patch rilasciata quasi immediatamente dal gruppo di sviluppo di OpenSSH.

    > Se devi fare degli esempi falli bene pir**

    La prossima volta, ignorante del ca**o, vedi di fare delle critiche costruttive, basate su qualcosa di solido, e non su ricordi frammentari.



    non+autenticato

  • Non era mai successo prima !

    Brava Microsoft, continua a fare i programmi di alta qualità !
    non+autenticato


  • - Scritto da: Memo Remigi
    >
    > Non era mai successo prima !
    >
    > Brava Microsoft, continua a fare i programmi
    > di alta qualità !


    NON E SOLO MS CHE FA PROGR BACATI, prendi un progr qualunque di una societa che odi, lo sottoponi alle prove più assurde (input strani, imposizioni del pensiero, gli fai vedere una programma nuda) ed ecco li er buco e truvato, poi confezioni l' exploit lo pubblichi, crei il programma per fermarlo e ai fatto i soldi oppure ai gettato fango addosso ad un'azienda, o al movimento che vuoi colpire.

    si sviluppa la tecnica ma i metodi comunisti rimangono.
    non+autenticato


  • - Scritto da: comunist

    > NON E SOLO MS CHE FA PROGR BACATI, prendi un
    > progr qualunque di una societa che odi, lo
    > sottoponi alle prove più assurde (input
    > strani, imposizioni del pensiero, gli fai
    > vedere una programma nuda) ed ecco li er
    > buco e truvato,

    Prendi un programma sviluppato nel tempo libero, dai il codice in pasto a migliaia di persone e ... e trovi meno buchi del programma sviluppato dalla piu' grande ditta produttrice di Software al mondo con codice segreto.

    C'e' qualcosa che non torna ...

    > si sviluppa la tecnica ma i metodi comunisti
    > rimangono.

    Per contrapposizione, Windows e' nazi-fascistaSorride ?
    non+autenticato
  • Talmente tanti che non importa piu` a nessuno. Infatti su questo forum non c'e` neanche un messaggio.
    non+autenticato


  • - Scritto da: stupito
    > Talmente tanti che non importa piu` a
    > nessuno. Infatti su questo forum non c'e`
    > neanche un messaggio.

    mah... probabilmente staranno tutti reinstallando windows per la 200esima volta dopo che qualche virus o script-kiddie gli ha piallato la macchina... !!!!

    Eh eh eh !!!
    non+autenticato
  • Non e' che non importa, e' che come dici tu ce ne sono talmente tanti (in continuazione) che ci si stufa persino di dirlo.

    - Scritto da: stupito
    > Talmente tanti che non importa piu` a
    > nessuno. Infatti su questo forum non c'e`
    > neanche un messaggio.
    non+autenticato
  • Sono completamente d'accordo a metà col mister !Sorride
    non+autenticato