Falla URI, arriva la patch di Microsoft

Microsoft ha rilasciato una patch per la famosa vulnerabilità di Windows XP relativa alla gestione degli Uniform Resource Identifier. Nel contempo ha corretto una falla nel DNS di Windows Server e aggiornato Windows Vista

Redmond (USA) - Come promesso lo scorso mese, Microsoft ha pubblicato una patch che dovrebbe porre fine ai seri problemi di sicurezza introdotti in Windows XP e 2003 da Internet Explorer 7. Problemi legati alla gestione degli URI (Uniform Resource Identifier), e alla possibilità, per un malintenzionato, di creare indirizzi web, mail o di altro tipo in grado di eseguire comandi e programmi senza l'autorizzazione dell'utente.

La vulnerabilità ha interessato molte applicazioni, tra le quali Acrobat e Adobe Reader, FoxIT Reader, Skype, Firefox, Netscape, Miranda IM, Outlook Express e Outlook 2000. Quasi tutti i produttori hanno rilasciato nelle scorse settimane delle correzioni al problema, ma la stessa Microsoft ha recentemente ammesso che tali patch non bastano: per risolvere del tutto il problema era necessario agire a monte, modificando il modo in cui le API di Windows filtrano gli URI non validi.

La patch di Microsoft è arrivata ieri con il rilascio del bollettino MS07-061, classificato di importanza "critica".
L'unico altro bollettino pubblicato ieri, l'MS07-062, risolve invece una vulnerabilità classificata "importante" nel servizio DNS di Windows 2000 e 2003. Vulnerabilità causata da una debolezza nel generatore di numeri pseudo-casuali di Windows, che un abile cracker potrebbe sfruttare per lanciare attacchi di DNS spoofing e dirottare il traffico Internet verso un server a sua scelta.

Proprio negli scorsi giorni alcuni ricercatori dell'Università di Haifa, in Israele, hanno pubblicato un documento in cui analizzano un potenziale problema di sicurezza legato al generatore di numeri pseudo-casuali di Windows. Non è chiaro se il problema descritto dai ricercatori israeliani sia relazionato a quello appena corretto da Microsoft: in ogni caso, nel documento si focalizza l'attenzione sulle conseguenza che la debolezza potrebbe avere sulla solidità degli algoritmi di cifratura. Si veda a tal proposito l'articolo Cifratura di Windows, rischi in vista? pubblicato sul numero odierno di Punto Informatico.

Microsoft ha anche rilasciato una serie di aggiornamenti per Windows Vista, non relativi alla sicurezza, che è possibile scaricare dai link forniti in questo post. Gli update promettono di migliorare la compatibilità, la stabilità e l'affidabilità di Vista, correggere alcuni bug relativi alla gestione dell'interfaccia USB e migliorare l'interazione fra Windows Media Center e Xbox 360.
38 Commenti alla Notizia Falla URI, arriva la patch di Microsoft
Ordina
  • falla negli URI "jar:" in Firefox 2.0.0.9:
    This vulnerability may allow an attacker to execute cross-site scripting attacks on sites that allow users to upload pictures, archives or other files. If the user opens the malicious URI with a Firefox Addon, an attacker might be able to execute arbitrary code.
    http://blogs.zdnet.com/security/?p=652

    E' da febbraio che è aperta!
    non+autenticato
  • Microsoft, ha impiegato un mese a patcharla, i Professoroni della Mozilla Foundation stanno per lanciare nell'arco di 2 mese la 4° patch, in media 1° ogni 15 giorni,il bello e che non riescono a risolvere nulla, anzi il contrario, avete come è diventato Firefox.......
  • - Scritto da: saxpax
    > Microsoft, ha impiegato un mese a patcharla, i
    > Professoroni della Mozilla Foundation stanno per
    > lanciare nell'arco di 2 mese la 4° patch, in
    > media 1° ogni 15 giorni,il bello e che non
    > riescono a risolvere nulla, anzi il contrario,
    > avete come è diventato
    > Firefox.......

    quoto, c'è pure la nuova falla negli URI "jar:" in Firefox 2.0.0.9:
    This vulnerability may allow an attacker to execute cross-site scripting attacks on sites that allow users to upload pictures, archives or other files. If the user opens the malicious URI with a Firefox Addon, an attacker might be able to execute arbitrary code.
    http://blogs.zdnet.com/security/?p=652

    E' da febbraio che è aperta!
    non+autenticato
  • ...quanto ci ha messo la Mozilla a rilasciare una Patch?,giusto per fare il confronto,se non sbaglio è già uscita da tempo....come mai una società multimiliardaria ci mette così tanto a fare una patch mentre una società molto ma molto meno ricca lo fa in meno tempo?
  • Firefox avevo cercato di patchare la famosa fallo uri, ma non ci son riusciti hann fatto 2.0.0.7-2.0.0.8-2.0.0.9
    ancora non ci son riusciti, hann combinato un casino, con tutte queste patch, Firefox è divento lento e molto instabile già c'è in attesa la prossima patch, sarebbe la 4 in nemmeno 2 mesi,ma ancor anon riescono a risolvere........complimenti Mozilla Foundation
  • Calma, non agitarti.
    Concordo che la patch e' poco tempestiva: tuttavia, il tempo elevato puo' dipendere dal numero elevato di modifiche ai sorgenti.
    Ogni versione di Windows eredita le librerie scritte per quelle precedenti, che non prevedevano i problemi di validazione degli input, e MS si e' guardata bene dal riscrivere tutto quanto fino alla scoperta dell'errore.
    Metafile, jpeg, cursori ... IMHO il prossimo sara' il ritaglio (.shs), presente da Win 95 in poi e che (quasi) nessuno ha mai usato.

    elf
    non+autenticato
  • Diciamo pure che sistemare in FF un guaio causato da una falla di Windows non deve essere facile.
    Non è affatto giusto dare a FF la colpe di errori altrui.
    Funz
    12923
  • - Scritto da: Funz
    > Diciamo pure che sistemare in FF un guaio causato
    > da una falla di Windows non deve essere
    > facile.

    diciamo pure che tu non hai capito nulla... E' responsabile di chi riceve gli argomenti di filtrarli!
    non+autenticato
  • > diciamo pure che tu non hai capito nulla... E'
    > responsabile di chi riceve gli argomenti di
    > filtrarli!

    Allora leggiamo insieme:
    [...]patch che dovrebbe porre fine ai seri problemi di sicurezza introdotti in Windows XP e 2003 da Internet Explorer 7. Problemi legati alla gestione degli URI (Uniform Resource Identifier), e alla possibilità, per un malintenzionato, di creare indirizzi web, mail o di altro tipo in grado di eseguire comandi e programmi senza l'autorizzazione dell'utente.

    La vulnerabilità ha interessato molte applicazioni, tra le quali Acrobat e Adobe Reader, FoxIT Reader, Skype, Firefox, Netscape, Miranda IM, Outlook Express e Outlook 2000. Quasi tutti i produttori hanno rilasciato nelle scorse settimane delle correzioni al problema, ma la stessa Microsoft ha recentemente ammesso che tali patch non bastano: per risolvere del tutto il problema era necessario agire a monte, modificando il modo in cui le API di Windows filtrano gli URI non validi. [...]

    A leggere mi pare di avere capito benissimo, la falla è in Windows e si ripercuote su tutte le applicazioni che girano sotto Windows.
    Pretenderanno mica che ogni programma debba essere patchato ogni volta che salta fuori una falla di Windows?
    Ah, su Linux questo problema non c'era.
    Funz
    12923
  • Come da oggetto. Quanto tempo è passato dalla scopertà della vulnerabilità?
  • e potevi andare direttamente tu a programmarla no? magari facevi prima.
  • Come? Non solo pago un prodotto, questo è fallato e me lo devo anche sistemare??

    Bha.....
    non+autenticato
  • bhe se dici che ci mettono troppo, il concetto è che se la patch di linux ci mette 1 mese a venir fuori nessuno dice niente se lo stesso tempo ce lo mette la microsoft tutti gli danno contro.

    Il classico 2 pesi e 2 misure.

    la mia frase intendeva dire, se sei tanto bravo a criticare e sai i tempi di sviluppo per fare una determinata patch sviluppatela. Altrimenti se non sai che impatto abbia fare una determinata patch meglio che stai zitto su quanto tempo ci mettono.
  • - Scritto da: darksky
    > bhe se dici che ci mettono troppo, il concetto è
    > che se la patch di linux ci mette 1 mese a venir
    > fuori nessuno dice niente se lo stesso tempo ce
    > lo mette la microsoft tutti gli danno
    > contro.
    >
    > Il classico 2 pesi e 2 misure.

    Peccato che MS sia una multinazionale con migliaia di programmatori, che vende un prodotto a caro prezzo, mentre ciascun programma di Linux è gestito da un piccolo gruppo / società / comunità, che rilascia il suo SW in genere gratis, e di solito corregge le falle in minor tempo rispetto a MS!
    Funz
    12923
  • - Scritto da: Funz
    > - Scritto da: darksky
    > > bhe se dici che ci mettono troppo, il concetto è
    > > che se la patch di linux ci mette 1 mese a venir
    > > fuori nessuno dice niente se lo stesso tempo ce
    > > lo mette la microsoft tutti gli danno
    > > contro.
    > >
    > > Il classico 2 pesi e 2 misure.
    >
    > Peccato che MS sia una multinazionale con
    > migliaia di programmatori, che vende un prodotto
    > a caro prezzo, mentre ciascun programma di Linux
    > è gestito da un piccolo gruppo / società /
    > comunità, che rilascia il suo SW in genere
    > gratis, e di solito corregge le falle in minor
    > tempo rispetto a
    > MS!

    ahahahahah
    certo come no e tu pensi che i programmari di linux vivano d'aria

    ahahahah

    il fatto che Linux sia gratuito c'è un motivo perchè prendono i soldi dalle macchine HW che vendono. Tu pensi che le multinazionali tipo IBM spingano su Linux e mettano li risorse senza un ritorno economico.
    Leviamoci le fette di prosciutto dagli occhi, linux è gratis si ma le aziende che mettono i programmatori a svilupparci non li mettono cosi, hanno un ritorno economico da un'altra parte.

    Pensi che che sviluppa Linux sia uno smanettatore ? (certo ci puo' essere ma sono i casi minori) La maggior parte sono programmatori pagati da multinazionali.
  • - Scritto da: darksky

    > il fatto che Linux sia gratuito c'è un motivo
    > perchè prendono i soldi dalle macchine HW che
    > vendono.

    Ma questo non è italiano... scusa, chi è il soggetto di "prendono"?

    >Tu pensi che le multinazionali tipo IBM
    > spingano su Linux e mettano li risorse senza un
    > ritorno economico.

    IBM? Non penso che IBM finanzi tutti coloro che lavorano alle centinaia di distribuzioni Linux che esistono.
    non+autenticato
  • dietro praticamente tutte le distribuzioni c'è qualcuno che le finanzia, tutte le distribuzioni hanno dei programmatori che ci lavoro a tempo pieno se per caso non ci fossero programmatori che ci lavorassero a tempo pieno 1 il software andrebbe avanti veramente a rilento visto che le persone hanno una vita, per campare devono guadagnare e trovare tante persone che lavorano gratis dietro ad un progetto per anni te le sogni. Se lo fai a tempo perso quando non lavori i progetti vanno veramente a rilento altrimenti con la velocità con cui viene sviluppato hai degli sviluppatori che ci lavorano a tempo pieno e stai certo pagati da qualche grossa azienda che li fa sviluppare.

    Quella della IBM era un esempio. Vedi solo ad esempio Firefox pensi che i programmatori che ci sono dietro (e non sono pochi) lavorino gratis?
  • Ma questo si, ma sono io utente che non pago!
    Quindi perchè dovrei pretendere lo stesso trattamento (che comunque c'è, se non migliore) che dovrebbe darmi una azienda monopolista, plurimiliardaria che si fa pagare il suo prodotto a caro prezzo??
    non+autenticato
  • >
    > ahahahahah
    > certo come no e tu pensi che i programmari di
    > linux vivano d'aria
    >
    >
    > ahahahah

    O hanno un altro lavoro, o sono stipendiati da società come IBM, Sun, Novell, Redhat, Mozilla Foundation, Google, eccetera eccetera...

    > il fatto che Linux sia gratuito c'è un motivo
    > perchè prendono i soldi dalle macchine HW che
    > vendono. Tu pensi che le multinazionali tipo IBM
    > spingano su Linux e mettano li risorse senza un
    > ritorno economico.

    Eh?
    Sul mio PC non credo ci sia niente HW di IBM, nemmeno su quello del lavoro.

    > Leviamoci le fette di prosciutto dagli occhi,
    > linux è gratis si ma le aziende che mettono i
    > programmatori a svilupparci non li mettono cosi,
    > hanno un ritorno economico da un'altra
    > parte.

    Certo. Lo fanno perchè ne ricavano vantaggi (ad esempio vendere HW, come dici tu, senza pagare licenze a nessuno)
    Io ad esempio perdo un pò di tempo qui a promuovere (vabbè trollare và), in cambio ho un SO completo a mia disposizione gratis!

    > Pensi che che sviluppa Linux sia uno smanettatore
    > ? (certo ci puo' essere ma sono i casi minori) La
    > maggior parte sono programmatori pagati da
    > multinazionali.

    E allora ti pare un male?
    Funz
    12923
  • - Scritto da: Funz
    > >
    > > ahahahahah
    > > certo come no e tu pensi che i programmari di
    > > linux vivano d'aria
    > >
    > >
    > > ahahahah
    >
    > O hanno un altro lavoro, o sono stipendiati da
    > società come IBM, Sun, Novell, Redhat, Mozilla
    > Foundation, Google, eccetera
    > eccetera...

    appunto ma Mozilla ad esempio che fa firefox gratis ha un ritorno economico da altre parti. Google pure anche se a noi non spendiamo niente ci sono multinazionali che spendono milioni di €.

    >
    > > il fatto che Linux sia gratuito c'è un motivo
    > > perchè prendono i soldi dalle macchine HW che
    > > vendono. Tu pensi che le multinazionali tipo IBM
    > > spingano su Linux e mettano li risorse senza un
    > > ritorno economico.
    >
    > Eh?
    > Sul mio PC non credo ci sia niente HW di IBM,
    > nemmeno su quello del
    > lavoro.

    bhe mica puntano sul piccolo come te ma sulle grandi aziende.


    >
    > > Leviamoci le fette di prosciutto dagli occhi,
    > > linux è gratis si ma le aziende che mettono i
    > > programmatori a svilupparci non li mettono cosi,
    > > hanno un ritorno economico da un'altra
    > > parte.
    >
    > Certo. Lo fanno perchè ne ricavano vantaggi (ad
    > esempio vendere HW, come dici tu, senza pagare
    > licenze a
    > nessuno)
    > Io ad esempio perdo un pò di tempo qui a
    > promuovere (vabbè trollare và), in cambio ho un
    > SO completo a mia disposizione
    > gratis!
    >
    > > Pensi che che sviluppa Linux sia uno
    > smanettatore
    > > ? (certo ci puo' essere ma sono i casi minori)
    > La
    > > maggior parte sono programmatori pagati da
    > > multinazionali.
    >
    > E allora ti pare un male?

    no male ma la maggior parte sono programmatori professionisti che lo fanno per lavoro e vengono pagati per sviluppare.