Megapatch per Windows Media Player

Il big di Redmond spara un megapacco per il suo player che va a tappare falle vecchie e nuove, fra cui una recente di grave entità

Redmond (USA) - Microsoft ha rilasciato una patch cumulativa per il Windows Media Player (WMP) che, oltre ad includere tutte le patch già uscite in precedenza per le versioni 6.4, 7.1 e 8.0 (Windows XP), va a correggere tre nuove vulnerabilità di sicurezza descritte nell'advisory MS02-032.

La prima vulnerabilità, valutata come ad alto rischio, riguarda tutte e tre le versioni del WMP ed è causata da una cattiva gestione, da parte del player, di alcuni tipi di licenze allegate a file protetti che si trovino archiviati nella cache di Internet Explorer. La falla consente ad un aggressore l'esecuzione di codice e comandi locali con gli stessi diritti dell'utente. Questo significa che da remoto un cracker potrebbe essere in grado di "modificare o cancellare dati, comunicare con siti Web o cambiare la configurazione del computer".

La seconda vulnerabilità del WMP, classificata come a medio rischio, riguarda la versione 7.1 per Windows 2000 e 8.0 per Windows XP. Risiede nella gestione, da parte del Windows Media Device Manager, di richieste di accesso ai dispositivi locali di archiviazione. Attraverso questa debolezza un aggressore in taluni casi può loggarsi sulla console di sistema, elevare i propri privilegi e prendere il controllo del sistema.
La terza e ultima falla, valutata come a basso rischio, interessa solo la versione 8.0 di WMP e riguarda il modo in cui il player archivia le informazioni legate alla playlist. Un aggressore può - ma solo in circostanze molto particolari - sfruttare questo buco per far girare script HTML sul computer dell'utente con gli stessi privilegi di quest'ultimo.

Nel suo bollettino di sicurezza Microsoft spiega che questa megapatch introduce anche due novità: una modifica nella configurazione relativa alle estensioni dei file associati a WMP (senza fornire altri dettagli in merito) e una nuova opzione nella funzionalità di sicurezza del WMP che consente agli utenti di disabilitare completamente l'esecuzione di script nel WMP 7.x o successivi.

Tutte le patch e gli advisory sono accessibili da qui.
TAG: sicurezza
22 Commenti alla Notizia Megapatch per Windows Media Player
Ordina
  • chi ha il coraggio di fare un CD con tutti gli aggiornamenti di windows?
    non+autenticato
  • "...se non hanno paura di questa potenza?"

    :)
    non+autenticato
  • non so se avete letto la licenza ma il maestro xian l'ha letta e dice che vi puo' installare roba sul pc per difendere il drm e quindi non e' free un po' come apt-get pero' cattivo
    non+autenticato
  • Ma si puo' vivere tranquilli sta' 'zzo di tecnologia?

    Ma si vive meglio grazie ad essa o dobbiamo vivere per lei stando dietro a tutti i pericoli che comporta per il nostro vivere in rete?

    Ma sta 'zzo di Microsoft possibile non sia legalmente perseguibile per tutti i problemi economici e sociali che comporta l'utilizzo delle sue tecnologie?!?!
    non+autenticato
  • - Scritto da: unoqualsiasi
    > Ma si puo' vivere tranquilli sta' 'zzo di
    > tecnologia?
    > Ma si vive meglio grazie ad essa o dobbiamo
    > vivere per lei stando dietro a tutti i
    > pericoli che comporta per il nostro vivere
    > in rete?

    Mah, sinceramente questo mi sembra solamente
    vittimismo bello e buono. Situazioni del tipo
    "mamma mia, che stress la rete - piena di hacker
    e ladri e pornopederasti - sembra di essere in
    un far-west digitale, aiuto la cyberguerra,
    siamo schiavi di una tecnologia imposta da un
    monopolio, aiuto, facciamo la rivoluzione, ah
    wake up Neo !".

    Se posso dare il mio umile parere, mi sembra che
    molta gente sia influenzata in maniera pesante
    da film di fantascienza, vecchi racconti di
    Gibson e Sterling e dalla mania allarmistica dei
    soliti giornalisti "sbatti il mostro in 1a pagina"

    Quali pericoli REALI corri se navighi in Rete
    con il Windows Media Player attivo ?
    Quanto navighi al giorno 1,2,3 ore ?
    E cosa credi che ci sia di così vitale nel tuo PC
    da attirare l'attenzione dei malefici "hacker",
    che indubbiamente sono lì 24 ore su 24 ad
    attendere che tu faccia partire il player
    solo per eseguire uno script che ti ridimensiona
    la finestra di IE ?
    Ma per piacere! Probabilmente la maggioranza di
    noi neanche utilizza la carta di credito su
    Internet, e il pericolo più grosso che correte
    è che qualcuno mandi alla vostra fidanzata le
    immagini porno che avete salvato in qualche
    directory dell'HD.

    Cerchiamo di essere obiettivi e realisti.
    La Rete è un mezzo di comunicazione,potente e
    rivoluzionario, ma ALLO STATO ATTUALE DELLE COSE
    non ha ancora influenzato la sfera UMANA e SOCIALE
    in maniera significativa - e se per qualcuno
    navigare con programmi potenzialmente fallati è
    uno "stress insostenibile", beh, ci sono un sacco
    di altre cose più rilassanti da fare.

    non+autenticato
  • - Scritto da: Geronimo
    e il pericolo più grosso che
    > correte
    > è che qualcuno mandi alla vostra fidanzata
    > le
    > immagini porno che avete salvato in qualche
    > directory dell'HD.

    E ti pare poco?
    non+autenticato
  • - Scritto da: mao
    > - Scritto da: Geronimo
    > e il pericolo più grosso che
    > > correte è che qualcuno mandi
    > > alla vostra fidanzata le
    > > immagini porno che avete salvato in
    > > qualche directory dell'HD.
    >
    > E ti pare poco?

    Senza dubbio può dare fastidio (se hai qualche
    "scheletro dento l'armadio", diciamo) ma
    non mi si venga a dire che dobbiamo questi
    pericoli della rete sono troppo grossi a
    causa della tecnologia... sono problemi
    personali.
    Insomma, posso capire che chi ci lavora, in rete,
    voglia (per se e per i propri clienti)
    ragionevoli margini di sicurezza e privacy.
    Ma non accetto che si faccia del facile
    vittimismo quando a casa non si fa altro
    che scaricare MP3, foto hard e snavigazzare -
    e se non ritenete alcuni strumenti (peraltro
    completamente accessori, tipo Windows Media
    Player) sicuri, perchè continuate ad usarli?
    A volte mi sembra che la gente voglia forzatamente
    trovarsi problemi o battaglie da combattere,
    anche se queste battaglie il 90% delle volte
    sembrano patetici rispetto ad altre questioni.
    Come ho già detto, cerchiamo di vedere le
    cose con un minimo di prospettiva e buon
    senso.
    non+autenticato
  • La saggezza indiana! Concordo su tutto...Sorride
    LAvoro in una società con ingegneri informatici laureati che prima si inca@@ano con la banca perchè tarda a mandargli la carta di credito...poi una volta ottenuta, la lasciano ammuffire nel portafogli perchè non si fidano del commercio elettronico (molti di loro non la usano neanche nei negozi "reali")...la parte + spassosa è che quando vogliono fare acquisti sulla rete vengono da noi "pazzi" chiedendoci di usare la nostra! "...tanto, se te l'hanno clonata, ormai non puoi farci nulla..."
    Che tristezza...
    non+autenticato
  • Cavolacci e meno male che sono a medio rischio...

    ...si si ma tanto per Microsoft se uno qualsiasi puo'accedere al sistema e spaccare tutto non e' un problema...tanto era una macchina windows Occhiolino


    sigh!
    non+autenticato
  • - Scritto da: 2click
    > Cavolacci e meno male che sono a medio
    > rischio...
    >
    > ...si si ma tanto per Microsoft se uno
    > qualsiasi puo'accedere al sistema e spaccare
    > tutto non e' un problema...tanto era una
    > macchina windows Occhiolino
    >
    >
    > sigh!

    D'altro canto, puoi sempre usare un Mac o un PC Linux...Sorride
    non+autenticato
  • Non capisco proprio perchè i vari linuxiani non ammettono che da Windows 2k in poi compreso XP a linux ci passa un mare di usabilità. Io uso sia XP Pro che la redhat 7.2 con kde e tra i due se potessi buttarne via uno butterei linux.

    Linea di comando? certo se la volessi usare tornerei 10 anni indietro al tempo di Dos (anche se non sono paragonabili in potenza).

    Del resto piccoli problemi come il modem interno del mio portatile sotto windows xp va da subito, senza nessun problema... mentro in redhat no e il tanto blasonato supporto tecnico non mi ha dato nemmeno risposta.

    Complimenti linux. Se proprio devo prendo Mac.

    Andrea




    non+autenticato


  • - Scritto da: Andrea

    Ma se non sai usare Linux perche' vuoi farlo?
    Linux non e' per tutti... c'e' chi puo' e chi non puo', evidentemente tu non puoi..

    Bye
    non+autenticato
  • - Scritto da: 35.21?
    >
    >
    > - Scritto da: Andrea
    >
    > Ma se non sai usare Linux perche' vuoi farlo?

    Complimenti...questo sì che è il vero spirito dell'Open Source!!!

    > Linux non e' per tutti...

    Vedi sopra...

    > c'e' chi puo' e
    > chi non puo', evidentemente tu non puoi..

    E allora non rompetei maroni "MS uccide il libero mercato!...Alla gogna Bill Gates!..."
    Se non vuoi che Linux sia per tutti, di che ti lamenti, visto che Windows si rivolge ad un utenza prettamente diversa da te (che ovviamente sei un genio)?
    non+autenticato
  • Mi stupisce il fatto che essendo le 9:29 non c'è ancora nessun commento a una notizia in cui MS fà una cosa positiva. Non è che ammiri o disprezzi in qualche modo particolare MS, ma mi fà pensare il fatto che se questa fosse stata solo una notizia di vulnerabilità e basta, ora ci sarebbero 50 post con scritto di tutto contro MS. Una volta che bill fà 1 cosa giusta allora non vale la pena di dire un cazzo: a cosa ci si attacca, no?
    non+autenticato


  • - Scritto da: Delta V
    > Una
    > volta che bill fà 1 cosa giusta allora non
    > vale la pena di dire un cazzo: a cosa ci si
    > attacca, no?

    Fa una cosa giusta?!!?!?!! Ma che commento del piffero!

    Ma quanti di voi continuerebbero a comprare prodotti che ogni pochi giorni devono "rientrare" per difetti?

    Ma va fan MS!
    non+autenticato

  • > Fa una cosa giusta?!!?!?!! Ma che commento
    > del piffero!
    >
    > Ma quanti di voi continuerebbero a comprare
    > prodotti che ogni pochi giorni devono
    > "rientrare" per difetti?
    >
    > Ma va fan MS!

    il che mi fa pensare che nessuno di voi legge bugtraq
    se andate su securityfocus vedrete una 20ina di vulnerabilita' al giorno, che riguardano OGNI software esistente....
    evidentemente, se fosse come dici tu, non bisognerebbe usare nulla...

    ciao
    non+autenticato


  • - Scritto da: maks
    > il che mi fa pensare che nessuno di voi
    > legge bugtraq
    > se andate su securityfocus vedrete una 20ina
    > di vulnerabilita' al giorno, che riguardano
    > OGNI software esistente....

    Se si parla di OpenSource per "definizione" si parla di progetti continuamente "in lavorazione" ma quando si parla di software proprietario TUTTE le software-house dovrebbero SMETTERLA di rilasciare prodotti bacati-fallati-insicuri-erompicoleottericontutteleloropatchdel cavolo.

    > evidentemente, se fosse come dici tu, non
    > bisognerebbe usare nulla...

    Se non sbaglio nel mondo OpenSource c'e' il concetto di stable e development. Se voglio la "sicurezza" scelgo il primo, giusto? Con le aziende? Dopo che pago perche' devo subire di fare costantemente il loro beta-tester?
    non+autenticato

  • > > il che mi fa pensare che nessuno di voi
    > > legge bugtraq
    > > se andate su securityfocus vedrete una
    > 20ina
    > > di vulnerabilita' al giorno, che
    > riguardano
    > > OGNI software esistente....
    >
    > Se si parla di OpenSource per "definizione"
    > si parla di progetti continuamente "in
    > lavorazione" ma quando si parla di software
    > proprietario TUTTE le software-house
    > dovrebbero SMETTERLA di rilasciare prodotti
    > bacati-fallati-insicuri-erompicoleottericontu
    >

    non uscirebbe mai software

    > > evidentemente, se fosse come dici tu, non
    > > bisognerebbe usare nulla...
    >
    > Se non sbaglio nel mondo OpenSource c'e' il
    > concetto di stable e development. Se voglio
    > la "sicurezza" scelgo il primo, giusto? Con
    > le aziende? Dopo che pago perche' devo
    > subire di fare costantemente il loro
    > beta-tester?

    apache 1.3.24 e' considerato stable da un bel po' di tempo..
    peccato ci sia un bug enorme...
    il software stable non esiste
    lamentarsi dei bug e' come lamentarsi del fatto che usando una cosa si logora...
    alcuni bug sono macroscopici, la maggior parte affiorano con l'uso...
    non si puo' testare un prodotto 4 anni per farlo uscire quando ormai e' vecchio...

    ciao
    non+autenticato


  • - Scritto da: maks
    > apache 1.3.24 e' considerato stable da un
    > bel po' di tempo..
    > peccato ci sia un bug enorme...
    > il software stable non esiste
    > lamentarsi dei bug e' come lamentarsi del
    > fatto che usando una cosa si logora...
    > alcuni bug sono macroscopici, la maggior
    > parte affiorano con l'uso...
    > non si puo' testare un prodotto 4 anni per
    > farlo uscire quando ormai e' vecchio...
    >
    > ciao
    perfettamente d'accordo.
    ricordate il glorioso win 3.11? ebbene, quel sistema operativo aveva un numero enorme di bachi, nell'ordine delle migliaia (naturalmente scoperti e catalogati in seguito).
    Eppure win 3.11 poteva considerarsi "stable", perché la MS ha sempre messo in commercio prodotti pieni zeppi di bugs ma non così tanti (e gravi) da pregiudicarne l' utilizzo.
    non+autenticato
  • .. e' inutile scrivere queste cose.
    E' pura verita' e verra' ignorata come sempre da chi pretende che il software sia perfetto.
    Come ben sai, chi pretende la perfezione nel software, non ha abbastanza esperienza per capire quello che hai detto.

    Saluti
    non+autenticato
  • quale "cosa giusta"? rilasciare delle patch? wow, ma che braaavooo (voce di oriano ferrari). e io che pensavo che i bachi si correggessero col ddt...

    questa è appunto una di quelle notizie dove di solito ci sono 50 post uno + scemo dell'altro.
    probabilmente i troll si sono stufati di trollare. con buona pace dei "linuxari" che (forse) stavolta non verranno accusati ingiustamente di avere due pesi e due misure per colpa di pochi (secondo me) provocatori.

    - Scritto da: Delta V
    > Mi stupisce il fatto che essendo le 9:29 non
    > c'è ancora nessun commento a una notizia in
    > cui MS fà una cosa positiva. Non è che
    > ammiri o disprezzi in qualche modo
    > particolare MS, ma mi fà pensare il fatto
    > che se questa fosse stata solo una notizia
    > di vulnerabilità e basta, ora ci sarebbero
    > 50 post con scritto di tutto contro MS. Una
    > volta che bill fà 1 cosa giusta allora non
    > vale la pena di dire un cazzo: a cosa ci si
    > attacca, no?
    non+autenticato


  • - Scritto da: Delta V

    > una volta che bill fà 1 cosa giusta allora non
    > vale la pena di dire un cazzo: a cosa ci si
    > attacca, no?

    Hei giovane, qui c'e' gente come il sottoscritto che ha speso 2 ricchi milioni di lire per un S.O. e ogni 5 giorni si illumina il windows update! e sono stufo anche di leggere i bullettin! Non giochiamo, l'unica cosa che rinfaccero sempre ai sistemi Linux è l'utenza che deve crescere mentalmente (non è un'offesa).
    Tutti sanno che linux è migliore, così come tutti sanno che drogarsi fa male, ma dovete insegnarlo e dimostrarlo agli altri, non essere arroganti a chi usa Windows, questa è una delel chiavi fondamentali. Sostituitevi ai preti e profetizzate Linux alle nuove leve Occhiolino
    Ex utente smanettone Amiga e ora PC.
    non+autenticato