Microsoft spara una tripletta di patch

In un sol giorno il colosso di Redmond ha rilasciato tre advisory riguardanti altrettante falle, fra cui una molto seria nel servizio di accesso remoto di Windows NT/2000/XP

Redmond (USA) - Microsoft ha rilasciato una tripletta di patch che mette fine ad alcune vulnerabilità scoperte di recente. La più seria, classificata come "critica", riguarda un buffer overflow contenuto in un componente del servizio di accesso remoto (RAS), un software integrato nativamente in Windows NT4/2000/XP e installabile separatamente nel Routing and Remote Access Server (RRAS).

Il RAS gestisce le connessioni dial-up fra computer e reti attraverso la linea telefonica. La falla riguarda un suo componente, il Phonebook, che è usato per archiviare informazioni quali numeri di telefono, impostazioni della rete e altre configurazioni per la connessione.

Nell'avviso di sicurezza MS02-029, Microsoft spiega che questa vulnerabilità può essere sfruttata da un aggressore per mandare in errore il sistema remoto oppure, ancor più grave, eseguire del codice a sua scelta con i privilegi di LocalSystem.
A mitigare la gravità del problema, secondo Microsoft, interviene il fatto che il cracker deve necessariamente loggarsi sul sistema vittima fornendo le appropriate credenziali.

Nella giornata di ieri la patch, che può essere scaricata manualmente dal link fornito nel bollettino, era già disponibile attraverso il servizio di aggiornamento automatico di Windows XP e il sito Windows Update.

Il secondo bollettino di sicurezza (MS02-030) descrive invece due vulnerabilità contenute in SQLXML, un componente che permette a SQL Server 2000 di gestire trasferimenti di dati nel formato XML.

La prima falla consiste in un buffer non verificato in un'estensione ISAPI che, in alcuni casi, potrebbe consentire ad un aggressore di eseguire codice di sua scelta in Internet Information Server (IIS).
La seconda falla interessa invece il modo con cui SQLXML gestisce uno specifico tag XML: un aggressore potrebbe sfruttarla per far girare sul sistema remoto script con privilegi più elevati di quelli normalmente consentiti.

Nel terzo bollettino di sicurezza (MS02-028) Microsoft avvisa di un buffer overrun contenuto nell'estensione ISAPI che in IIS implementa HTR, una vecchia e ormai obsoleta tecnologia di scripting. Anche in questo caso, se HTR è attivato un aggressore potrebbe avvalersi della falla per lanciare attacchi di tipo denial of service oppure eseguire codice a sua scelta.
TAG: sicurezza
16 Commenti alla Notizia Microsoft spara una tripletta di patch
Ordina
  • cavolo, siete peggio dei bambini!!! dall'altra parte è saltato fuori il bug per il kernel di linux con i processori amd (che non è un bug del kernel cavolo, se amd implementa in modo diverso le cose che colpa ne ha il kernel? fortuna che è uscita una patch) e tutti a sfottere linux, di qua sono uscite le patch per windows e tutti a sfottere windows, cavolo mi sembra di vedere ragazzini di 5 anni che liticano per chi ha il giocattolo più bello, invece di scannarvi a questo modo visto che tutti quelli che postano dicono di avere conoscenze informatiche infuse dalla nascita contribuite allo sviluppo e non fate i bambini
    non+autenticato

  • io non installerò più windows2000 a nessuno, finché non è uscito service pack 3


    scaricabile COMPLETO.


    kazzo

    mi hanno davvero rotto.
    non+autenticato


  • - Scritto da: POCKODDUE
    >
    > io non installerò più windows2000 a nessuno,
    > finché non è uscito service pack 3
    >
    >
    > scaricabile COMPLETO.
    >
    >
    > kazzo
    >
    > mi hanno davvero rotto.
    sottoscrivo in pieno, oltre al cd di w2k, bisogna sempre portarsi un cd pieno di bugfix e ca++atelle varie!!!!!
    non+autenticato
  • ...e quando avrete installato Win2000 con la SP3, completa, usciranno nuovi bugs, nuove patches, nuove SP...

    E' il nostro triste destino di tecnici...
    ...dovranno pure pagarci per qualcosa!!!
    Sorride
    non+autenticato
  • ehhe ieri ho messo un xp sono andato su windowsupdate.... 26mb di patchSorride Sì vabè anche quelle inutili sì lo so...
    non+autenticato
  • ma perchè Microsoft non testa mai completamente i suoi programmi prima di metterli sul mercato? e così vi sono sempre milioni di patch da eseguire!
    non+autenticato
  • - Scritto da: w_wfuck
    > ma perchè Microsoft non testa mai
    > completamente i suoi programmi prima di
    > metterli sul mercato? e così vi sono sempre
    > milioni di patch da eseguire!


    <<Ma perchè Torvalds non testa mai completamente i suoi kernel prima di rilasciarli al pubblico? e così vi sono ogni giorno dei kernel nuovi da scaricare e ricompilare!>>


    Vista così è tanto diversa?


    Zeross
    non+autenticato
  • Ah, no, per favore non spariamo caxxxxe... bachi nel kernel ne troviamo molti meno che in microsoft e cmq è veramente stupido e controproducente per tutti fare queste guerre di religione...

    Saluti
    non+autenticato
  • "la verità ti fa male lo so" diceva una canzone...

    E voi linuxiani avete poco da lamentarvi...


    non+autenticato
  • a me non mi importa un cavolo niente se il kernel è buggato; io sono programmatore e so che i programmi perfetti senza bug non esistono nè (sotto) linux nè (sotto) windows. semplicemente non ne posso più di queste stupide prese di posizioni e di queste prese in giro (voi winsozziani... voi linuzziani...). riguardo alle patch guardiamo quante ne vengono rilasciate sul fronte di linux e quante ne vengono rilasciate dalla microsoft...

    saluti
    non+autenticato


  • - Scritto da: leonardo
    > a me non mi importa un cavolo niente se il
    > kernel è buggato; io sono programmatore e so
    > che i programmi perfetti senza bug non
    > esistono nè (sotto) linux nè (sotto)
    > windows. semplicemente non ne posso più di
    > queste stupide prese di posizioni e di
    > queste prese in giro (voi winsozziani... voi
    > linuzziani...). riguardo alle patch
    > guardiamo quante ne vengono rilasciate sul
    > fronte di linux e quante ne vengono
    > rilasciate dalla microsoft...


    Concordo, anche perche i winzozzari convinti dovrebbero fare un corso accelerato di matematica per imparare a fare le proporzioni.

    100bw : 1GB = 100bl : 10GB

    bw=bachi windoze
    bl=bachi linuz
    GB=quantità di applicazioni in GB *


    Ciao

    * Nota bene che l'1GB di windoze è composto al 70% da immaginine e clipart che difficilmente sono bacate...anche se a redmond tutto è possibile.
    non+autenticato

  • > <<Ma perchè Torvalds non testa mai
    > completamente i suoi kernel prima di
    > rilasciarli al pubblico? e così vi sono ogni
    > giorno dei kernel nuovi da scaricare e
    > ricompilare!>>
    >
    >
    > Vista così è tanto diversa?

    e così?
    Linux è gratis e MS costa un botto di soldi (per farti pagare la "sicurezza"
    non+autenticato


  • - Scritto da: Zeross
    > <<Ma perchè Torvalds non testa mai
    > completamente i suoi kernel prima di
    > rilasciarli al pubblico? e così vi sono ogni
    > giorno dei kernel nuovi da scaricare e
    > ricompilare!>>

    Ma chi ti dice che colui a cui hai risposto usi linux? C'hai la coda di paglia...
    non+autenticato
  • forse xè non può assumere 1 miliardo di persone per testarlo
    non+autenticato
  • Ma porca pupazza (1), ancora c'è gente che scrive codice suscettibile di essere crashato con il buffer overflow?!?!?
    Si sta parlando in questi giorni di modificare le norme che sollevano i produttori di software dai danni provocati dai loro prodotti, e chi sostiene le normativa attuale dice che non è possibile produrre software intrinsecamente sicuro...
    Sarà vero, ma questi pistola (2) se la vanno pure a cercare...

    (1) tipica, seppur mitigata, espressione di sdegno...
    (2) eufemismo per classificare persone di scarsa intelligenza...
    non+autenticato
  • Hai ragione, però quando le linee di codice cominciano ad essere milioni è possibile che qualcosa possa sfuggire!
    non+autenticato