Quarta falla zero-day in Word

La scoperta di un nuovo cavallo di Troia ha portato alla luce un'inedita vulnerabilitÓ di Word sfruttabile dai cracker per prendere il controllo di un sistema remoto. A correre i maggiori rischi sono gli utenti di Word 2000

Roma - Symantec ha recentemente scoperto un nuovo cavallo di Troia, battezzato Mdropper.m, capace di sfruttare un'inedita vulnerabilità di MS Word 2000. Quest'ultima si aggiunge alle altre tre falle zero-day scoperte a dicembre e tuttora senza patch.

Il nuovo trojan si cela all'interno di un documento Word e viene eseguito quando l'utente apre il file. Una volta in memoria, Mdropper.m crea una backdoor utilizzabile da un cracker per accedere al sistema da remoto.

In questo advisory Microsoft ha confermato l'esistenza del problema, ma ha anche spiegato che il bug interessa esclusivamente l'ormai anziano Word 2000. Alcuni esperti di sicurezza sostengono tuttavia che l'exploit può causare qualche noia anche agli utenti di Word 2002 e Word 2003, questo a causa di un anomalo consumo di risorse di calcolo.
FrSIRT e Secunia giudicano la falla di Word 2000 della massima pericolosità.

Gli esperti affermano che bug come questi vengono generalmente utilizzati dai cracker per ottenere il pieno controllo di un sistema vulnerabile da remoto.
TAG: sicurezza
31 Commenti alla Notizia Quarta falla zero-day in Word
Ordina
  • Quindi?
    Facciamo finta di niente?
    Siamo costretti all'upgrade quando per noi questo software già soddisfa le esigenze aziendali?
    ArrabbiatoArrabbiatoArrabbiato

    Complimenti... che bel rispetto per gli utenti...

    Non biasimo chi mi suggerirà di passare a Linux Occhiolino Geek
    non+autenticato

  • - Scritto da:
    > Quindi?
    > Facciamo finta di niente?
    > Siamo costretti all'upgrade quando per noi questo
    > software già soddisfa le esigenze
    > aziendali?

    se hai il norton antivirus sei al sicuro, perchè è in grado di rilevare il trojan che sfrutta questa falla
    non+autenticato

  • - Scritto da:
    > Quindi?

    OpenOffice

    > Facciamo finta di niente?

    OpenOffice

    > Siamo costretti all'upgrade quando per noi questo
    > software già soddisfa le esigenze
    > aziendali?

    OpenOffice

    > Non biasimo chi mi suggerirà di passare a Linux
    >Occhiolino

    OpenOffice
    non+autenticato
  • ...nemmeno se office 2000 fosse stato opensource se lo cagherebbero ancora, perchè?? perchè gli opensorci han fatto office xp, office 2003 e ora sta uscendo il 2007! Non rimarrebbe nemmeno la pagina web sul sito di sourceforge! Che notizia del caz**, è come sentire che c'è una falla MAI SCOPERTA in KDE 2.9.3! Io mi metterei a cercare falle in dos 6, strano che non si senta mai parlare delle falle di dos6...che sia l'OS perfetto???
    non+autenticato
  • Perchè, farai fatica a crederci, ci sono ancora persone che usano Office 2000.

    Sono quelle persone che non necessitano i fronzolini, quelle che non hanno da spendere qualche migliaio di EUR per le licenze della piccola impresa, che si rifiutano, giustamente, di usare software pirata.

    Si possono basimare ? forse, o forse no. Avranno fatto la loro analisi dei requisiti e avranno visto che le funzioni offerte dalle versioni XP e 2003 non servono loro o comunque non permettono di recuperare l'investimento.

    madder

  • - Scritto da: Madder
    > Perchè, farai fatica a crederci, ci sono ancora
    > persone che usano Office 2000.
    >
    >
    > Sono quelle persone che non necessitano i
    > fronzolini, quelle che non hanno da spendere
    > qualche migliaio di EUR per le licenze della
    > piccola impresa, che si rifiutano, giustamente,
    > di usare software pirata.
    >
    >
    > Si possono basimare ? forse, o forse no. Avranno
    > fatto la loro analisi dei requisiti e avranno
    > visto che le funzioni offerte dalle versioni XP e
    > 2003 non servono loro o comunque non permettono
    > di recuperare l'investimento.
    >
    >
    > madder

    Ti quoto e aggiungo che forse il nostro amico non è al corrente di come alcune piccole aziende vivono l'informatica. I molti casi il computer ha sostituito la macchina da scrivere poichè spesso il personale che li usa non è in grado di farci molto di piu di questo: a che scopo spendere denaro per ingrassare produttori di H&S quando posta, internet e videoscrittura funzionano?
    non+autenticato

  • - Scritto da:
    > ...nemmeno se office 2000 fosse stato opensource
    > se lo cagherebbero ancora, perchè?? perchè gli
    > opensorci han fatto office xp, office 2003 e ora
    > sta uscendo il 2007! Non rimarrebbe nemmeno la
    > pagina web sul sito di sourceforge! Che notizia
    > del caz**, è come sentire che c'è una falla MAI
    > SCOPERTA in KDE 2.9.3! Io mi metterei a cercare
    > falle in dos 6, strano che non si senta mai
    > parlare delle falle di dos6...che sia l'OS
    > perfetto???

    Ma vivi in un altro mondo?
    Se fosse un programma opensource il problema non si porrebbe perché l'aggiornerei GRATUITAMENTE alla versione nuova.
    Ma che mi dici se in azienda ne abbiamo installati una trentina?
    Hai idea del costo di aggiornamento?
    Quando li abbiamo comprati (nel 2002, non 20 anni fa) non era indicata sulla scatola la data di scadenza!
  • ...no visto questi titoli sensazionali, sembrerebbe proprio la 4a falla del non ancora uscito al pubblico "office 2007"!!! E invece no, si parla di word2000! Certo voi direte "sai quanta gente usa ancora word 2000", bhè siamo nel 2007 forse è meglio veramente passare ad openoffice! a linux! votare Prodi! America e Israele distrutti! La Padania rasa al suolo! MS, Google, Novell, SCO, Intel (no AMD ovviamente) sono fallite! A morte i cristiani (ma solo loro)...e per finire Musica gratis da scaricare di Pino Pancari (visto che gli altri musicisti suonano a casa loro e di giorno vanno in fabbrica)...ok...che bel panorama vero? Ma così Punto Informatico non avrebbe un ***** da raccontare!!
    non+autenticato

  • - Scritto da:
    > ...no visto questi titoli sensazionali,
    > sembrerebbe proprio la 4a falla del non ancora
    > uscito al pubblico "office 2007"!!! E invece no,
    > si parla di word2000! Certo voi direte "sai
    > quanta gente usa ancora word 2000", bhè siamo nel
    > 2007 forse è meglio veramente passare ad
    > openoffice! a linux! votare Prodi! America e
    > Israele distrutti! La Padania rasa al suolo! MS,
    > Google, Novell, SCO, Intel (no AMD ovviamente)
    > sono fallite! A morte i cristiani (ma solo
    > loro)...e per finire Musica gratis da scaricare
    > di Pino Pancari (visto che gli altri musicisti
    > suonano a casa loro e di giorno vanno in
    > fabbrica)...ok...che bel panorama vero? Ma così
    > Punto Informatico non avrebbe un ***** da
    > raccontare!!

    L'advisory viene direttamente dalla Symantec e la falla è considerata stessi come grave, trovo opportuno che Punto Informatico abbia pubblicato la notizia specie se consideriamo che molte aziende sono a rischio a causa del gran numero di installazioni del vecchio Office. In conclusione forse non interessa te, ma può interessare altriOcchiolino
    non+autenticato

  • - Scritto da:
    > ...no visto questi titoli sensazionali,
    > sembrerebbe proprio la 4a falla del non ancora
    > uscito al pubblico "office 2007"!!! E invece no,
    > si parla di word2000! Certo voi direte "sai
    > quanta gente usa ancora word 2000", bhè siamo nel
    > 2007 forse è meglio veramente passare ad
    > openoffice! a linux! votare Prodi! America e
    > Israele distrutti! La Padania rasa al suolo! MS,
    > Google, Novell, SCO, Intel (no AMD ovviamente)
    > sono fallite! A morte i cristiani (ma solo
    > loro)...e per finire Musica gratis da scaricare
    > di Pino Pancari (visto che gli altri musicisti
    > suonano a casa loro e di giorno vanno in
    > fabbrica)...ok...che bel panorama vero? Ma così
    > Punto Informatico non avrebbe un ***** da
    > raccontare!!

    il solito itaGliano del menga: se non interessa a te non deve interessare a nessuno.

    mavavavava!
    non+autenticato
  • Se tu sapessi quante aziende usano ancora Office 2000 con Windows 2000... In fondo non hanno tutti i torti, per quel che serve a loro!
    non+autenticato
  • Mi chiedo:
    - come mai così poco interesse per Office 2000?
    - come mai non sono stati rilasciati DX10, Wmp11, IE7, Windows Defender per Windows 2000 (quando penso che lo sforzo sarebbe stato minimo?)?
    Vogliono "costringere" tutti all'upgrade?

  • - Scritto da: Lurkos
    > Mi chiedo:
    > - come mai così poco interesse per Office 2000?
    > - come mai non sono stati rilasciati DX10, Wmp11,
    > IE7, Windows Defender per Windows 2000 (quando
    > penso che lo sforzo sarebbe stato
    > minimo?)?
    > Vogliono "costringere" tutti all'upgrade?

    Costringere? Cioè secondo te la microsoft dovrebbe ancora supportare un OS uscito quasi 7 anni fa? ...
    non+autenticato
  • > Costringere? Cioè secondo te la microsoft
    > dovrebbe ancora supportare un OS uscito
    > quasi 7 anni fa?

    Sì, visto che:
    - non gli costa (quasi) nulla (vedi la beta di Windows Defender era anche per Windows 2000 e andava perfettamente, peccato che scadesse a dicembre)
    - il SO in questione è studiato per utenza professionale e non per i computer domestici
    - ci farebbero una bella figura, mentre ora dimostrano di fregarsene, favorendo la crescita di prodotti alternativi (es. OOo).

  • - Scritto da:
    > Costringere? Cioè secondo te la microsoft
    > dovrebbe ancora supportare un OS uscito quasi 7
    > anni fa?
    > ...

    Forse che la Fiat non supporta le Punto uscite 7 anni fa?
    Da quando un software ha una scadenza?
    non+autenticato
  • - Scritto da:
    >
    > Forse che la Fiat non supporta le Punto uscite 7
    > anni
    > fa?
    > Da quando un software ha una scadenza?

    Vai a prendere un pezzo di ricambio e vedi che quando lo paghi come mezza Punto nuova lo lasci poi anche lì... A bocca aperta
    1303

  • - Scritto da:
    >
    > - Scritto da: Lurkos
    > > Mi chiedo:
    > > - come mai così poco interesse per Office 2000?
    > > - come mai non sono stati rilasciati DX10,
    > Wmp11,
    > > IE7, Windows Defender per Windows 2000 (quando
    > > penso che lo sforzo sarebbe stato
    > > minimo?)?
    > > Vogliono "costringere" tutti all'upgrade?
    >
    > Costringere? Cioè secondo te la microsoft
    > dovrebbe ancora supportare un OS uscito quasi 7
    > anni fa?
    > ...
    Be', non si può mica pretendere, è vero, basterebbe invece che un po' prima della scadenza del supporto "extended", a Luglio 2010, rilasciassero il codice di Windows 2000, ovviamente non sotto GPL, che MS tanto detesta, ma sotto una licenza che MS ama molto, la BSD.
  • - Scritto da: Lurkos
    > Mi chiedo:
    > - come mai così poco interesse per Office 2000?
    > - come mai non sono stati rilasciati DX10, Wmp11,
    > IE7, Windows Defender per Windows 2000 (quando
    > penso che lo sforzo sarebbe stato
    > minimo?)?
    > Vogliono "costringere" tutti all'upgrade?

    DirectX 10 non sarà portata neanche su XP, dato che le risorse richieste per un simile cambiamento sono troppo alte (un buon numero di parti del sistema dovrebbero essere cambiate)

    per WMP11, IE7 e Defender (ma potremmo anche aggiungere Messenger 7.5 e sup., e altre cosette) il discorso è molto più semplice: Windows 2000 è già uscito dalla fase di Mainstream Support da 2 anni, quindi nessun prodotto MS viene più rilasciato con in mente la compatibilità con questo sistema operativo.
    Le risorse di progettazione/sviluppo/testing sono tutte indirizzate ai sistemi supportati correntemente.
    -----------------------------------------------------------
    Modificato dall' autore il 29 gennaio 2007 01.16
    -----------------------------------------------------------
    1303
  • - Scritto da: Zeross
    > per WMP11, IE7 e Defender (ma potremmo anche
    > aggiungere Messenger 7.5 e sup., e altre
    > cosette) il discorso è molto più semplice:
    > Windows 2000 è già uscito dalla fase di
    > Mainstream Support da 2 anni, quindi nessun
    > prodotto MS viene più rilasciato con in mente
    > la compatibilità con questo sistema operativo.

    Peccato che la beta di Defender fosse disponibile anche per Windows 2000.
    Il 99% delle applicazioni per XP va anche su 2000.
    Basta guardare il numero di versione per capire che le differenze sono poche:
    - Windows NT 5.0 (2000)
    - Windows NT 5.1 (XP)
  • - Scritto da: Lurkos
    >
    > Peccato che la beta di Defender fosse disponibile
    > anche per Windows
    > 2000.

    Evidentemente non sono riuscito a spiegarmi...

    ------------------------------
    Important Notes

    Windows Defender no longer supports Windows 2000 as it went out of mainstream support in June 2005. Please refer to the support lifecycle website for more information.

    http://www.microsoft.com/downloads/details.aspx?Fa...
    ------------------------------


    > Il 99% delle applicazioni per XP va anche su 2000.
    > Basta guardare il numero di versione per capire
    > che le differenze sono
    > poche:
    > - Windows NT 5.0 (2000)
    > - Windows NT 5.1 (XP)

    Le differenze possono anche essere nulle, ma commercialmente fare uscire un prodotto per un SO vuol dire supportare quel SO, il che per Windows 2000 non è vero.
    Tutti i prodotti MS rilasciati da giugno 2005 NON POSSONO più supportare Windows 2000.
    1303
  • - Scritto da: Zeross
    >> Peccato che la beta di Defender fosse
    >> disponibile anche per Windows 2000.
    > Evidentemente non sono riuscito a spiegarmi...
    >
    > Windows Defender no longer supports Windows
    > 2000 as it went out of mainstream support in
    > June 2005. Please refer to the support
    > lifecycle website for more information.

    La beta2 di Windows Defender è del 2006.
    Se non erro anche la beta1 è uscita dopo la fine del supporto mainstream.

    Quella frase lì l'ho letta tempo fa, ma non specifica nessuno motivo tecnico.
    Si tratta solo di una motivazione commerciale.

    >> Il 99% delle applicazioni per XP va anche su
    >> 2000.
    >> Basta guardare il numero di versione per
    >> capire che le differenze sono poche:
    >> - Windows NT 5.0 (2000)
    >> - Windows NT 5.1 (XP)
    > Le differenze possono anche essere nulle,
    > ma commercialmente fare uscire un prodotto
    > per un SO vuol dire supportare quel SO, il
    > che per Windows 2000 non è vero.
    > Tutti i prodotti MS rilasciati da giugno
    > 2005 NON POSSONO più supportare Windows
    > 2000.

    Non possono... diciamo che non vogliono.
    Cmq non capisco cosa ci sia di sbagliato in quello che ho detto, ossia "vogliono ``costringere'' all'upgrade".
    Di fatto mi sembra che questo sia il loro scopo.

    L'esempio di Windows Defender è lampante: l'hanno fatto usare anche con Windows 2000 per far vedere "quanto era bello", poi al momento di rilasciarlo hanno detto "guarda che non lo puoi usare; compra un computer e una licenza nuova e ne riparliamo". Se funzionava la beta2, perché la versione finale dovrebbe aver avuto incompatibilità così gravi?
  • ho idea che molte software house rilasceranno sempre piu programmi e giochi per GNU+Linux

    troppa gente è stanca di sganciare soldi alla Microzozz per prodotti bacati e scadenti

    incontro sempre piu utenti medi che switchano ad apple o GNU+Linux

    credo che il windows xp verrà ancora supportato a lungo dalle aziende, poiche si puo installare su Mac