Outlook, chiuso nuovo buco di sicurezza

Outlook, chiuso nuovo buco di sicurezza

Microsoft ha annunciato la disponibilità della patch per un bug del software di posta elettronica che avrebbe consentito di sfruttare le funzionalità vCard per accedere ai computer degli utenti
Microsoft ha annunciato la disponibilità della patch per un bug del software di posta elettronica che avrebbe consentito di sfruttare le funzionalità vCard per accedere ai computer degli utenti


Redmond (USA) – Sospiro di sollievo tra gli esperti di sicurezza dopo l’annuncio di Microsoft con cui viene superato e “curato” il bug nelle funzionalità vCard, che avrebbe potuto compromettere la sicurezza dei sistemi degli utenti di Outlook e Outlook Express, il popolare software Microsoft di gestione del messaging.

Stando agli esperti di @Stake che hanno individuato il bug, un biglietto da visita virtuale (vCard) confezionato in un certo modo può ingannare il sistema di posta di chi lo riceve, causando la chiusura del sistema stesso o addirittura il lancio di un codice a scelta sulla macchina della vittima.

Stando a Microsoft, che ha ammesso l’esistenza del bug e provveduto al rilascio di una patch apposita, “questo codice potrebbe portare a qualsiasi azione, limitata solo da eventuali permessi configurati dall’utente sul proprio computer. In effetti potrebbe compiere qualsiasi azione che l’utente può effettuare, compresa l’aggiunta, il cambiamento o la cancellazione di dati, la comunicazione con siti Web, la formattazione del disco rigido e via dicendo”.

Il buco può “aprirsi” solo su sistemi Windows quando l’utente che riceve una vCard la apre o la sposta nella rubrica dei contatti per inserire i dati al suo interno. Questo succede a causa di un buffer non verificato che può essere trasformato in veicolo dell’attacco.

Da segnalare che la patch messa a disposizione da Microsoft non si riferisce alle singole versioni di Outlook, quanto piuttosto alle versioni del browser, Internet Explorer, con cui Outlook viene diffuso. Per individuare “la propria patch”, dunque, basta identificare la versione del proprio browser IE.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 feb 2001
Link copiato negli appunti