Microsoft sigilla un buco in Outlook Express

L'azienda ha rilasciato una patch che va a correggere una grave vulnerabilitÓ del suo client di e-mail che pu˛ essere sfruttata da cracker e autori di worm. Utenti di Outlook al sicuro

Redmond (USA) - Nei giorni scorsi Microsoft ha rilasciato una patch che va a correggere un grave baco di sicurezza nel diffusissimo client e-mail Outlook Express (OE). La falla, descritta nel bollettino di sicurezza MS02-058 potrebbe consentire ad un aggressore di far girare sul sistema della vittima codice a propria scelta.

La vulnerabilitÓ, che riguarda le versioni 5.5 e 6.0 di OE, consiste in un buffer overrun nel codice che implementa S/MIME (Secure/Multipurpose Internet Mail Extensions), uno standard per la sicurezza delle e-mail che consente agli utenti di spedire e ricevere messaggi criptati.

Microsoft ha spiegato come sia possibile, per un aggressore, creare una e-mail firmata digitalmente e inserirvi del codice malizioso: questo codice viene eseguito automaticamente nel momento in cui l'utente che ha ricevuto il messaggio lo apre o ne fa l'anteprima. Nel caso peggiore l'aggressore potrebbe riuscire a far girare sul computer della vittima del codice a propria scelta con gli stessi diritti dell'utente locale, mentre nel caso meno grave potrebbe verificarsi il crash di OE.
Microsoft afferma che la patch in grado di correggere questa falla Ŕ giÓ stata integrata nel Service Pack 1 per Internet Explorer 6.0 ed in quello per Windows XP, di conseguenza gli utenti che hanno giÓ installato uno di questi aggiornamenti sono immuni al problema. Per essere applicata ad OE 5.5 la patch richiede la previa installazione del Service Pack 2 per IE 5.5.
TAG: microsoft
41 Commenti alla Notizia Microsoft sigilla un buco in Outlook Express
Ordina
  • esce un security advisory riguardante ste schifezze fatte da Microsoft almeno una volta al giorno, eppure la gente continua a dire che preferisce microsoft a casa... stupidità o pazzia?
    non+autenticato
  • E sopratutto esce la notizia quando la pathc ormai e' stata fatta, e fin'ora tutti i poveretti che continuavano a subire attacchi non capivano cosa accadesse a i propri poveri computer e nemmeno capivano come cercare di arginare la cosa in attesa della pathc ... brava M$ tutti i dittatori hanno una cosa in comune .. ossia tengono il popolo in pugno grazie all' ignoranze .. un popolo colto non si lascerebbe schiavizzare.... Ma tanto si sa loro riesco a girare la frittata fantasticamente pur di dire che chi annuncia le vulnerabilita' di un software e' un terrorista ... sara' terrorista, pero' quando hanno annunciato la vulnerabilita' di SSL in apache in attesa della pathc i sysadmin coscenti della cosa hanno potuto pararsi il culo disinstallando un eventuale conpilatore che era essenziale per il processo di infezione del worm che attaccava i server Linux/Apache rendendosi praticamente immuni ad esso ... se nessuno avesse annunciato di questa vulnerabilita' il worm si sarebbe diffuso probabilmente molto di piu' ...
    non+autenticato
  • pathc????
    coscenti???

    aaaaaaaaahhhhhh!!!

    :PPPP
    non+autenticato


  • - Scritto da: Sarò pure troll ma...
    > esce un security advisory riguardante ste
    > schifezze fatte da Microsoft almeno una
    > volta al giorno, eppure la gente continua a
    > dire che preferisce microsoft a casa...
    > stupidità o pazzia?

    ergo se proprio dovete usare un OS m$ *NON USATE* SW (le porcate) microsoft

    browser - opera 6
    mail - pegasus
    usenet - freeagent
    irc - mirc
    office - openoffice
    firewall - zonealarm
    antivir - avg

    e la vita vi sorridera' (tutti i programmi citati sono gratuiti/share/adware)
    non+autenticato
  • Secondo te tali programmini sono così perfetti da non avere bugs o più semplicemente non hanno nessuno dietro che si occupi di fornire le patch?
    non+autenticato
  • Nessun programma e' immune da bug (ok, nessun programma di una certa complessita'... se riuscite a infilare un bug in Hello World siete dei geni), checche' ne dicano i sostenitori. Ma il fatto di avere programmi utente troppo legati al sistema operativo od addirittura integrati in esso ne rende le potenziali falle molto piu' pericolose. Ah, i microkernel... (mi sono appena innamorato di QNX... si vede?)
    non+autenticato
  • > Ah, i microkernel... (mi
    > sono appena innamorato di QNX... si vede?)

    salute e figli maschi.
    personalmente a parità di basi tecnologiche (non è il caso tra win e lin, ma ad es lo è tra office e openoffice) mi fido più di un sistema su cui sono scovati più bug dato che non credo che un team così grande di programmatori possa statisticamente differire per numero di incompetenti o sabotatori, quindi i bug dovrebbero essere circa lo stesso numero...
    PS NTx è un sistema strutturato su un microkernel (su cui poi M$ ha fatto girare di tutto, contraddicendo il principio stesso di microkernel, diciamo che è un Micro$kernel).
    non+autenticato
  • Penso che se ti intendessi di più di linux sapresti che la debian viene costantemente aggiornata con le correzioni per le falle di sicurezza, e che un team di mantainer collaudati si preoccupa di non includere nella distribuzione stabile programmi non fidati.

    E' anche una questione statistica: nonostante il fatto che crackare un server può essere molto utile per nascondere la propria identità, e ci sono moltissimi server unix in giro, i worm per i server arrivano principalmente per windows, questo perchè i server freebsd e linux, essendo opensource, possono essere analizzati da molte più persone, e questo vuol dire

    1. che c'è più vulnerabilità da una parte perchè il cracker non deve disassemblare

    ma

    2. che chiunque collabora a migliorare il software, e finora la 2 ha avuto molto più peso della 1,

    infatti

    non ho mai sentito di qualcuno che ha disassemblato il codice per correggere un bug, solo per creare worm...

    non+autenticato
  • Spesso legacy, disponibilita' di applicazioni o altri motivi indipendenti dalla volonta' dell'utente
    non+autenticato
  • allora, mettiamola cosi'. non ti voglio dire perche' si continua a preferire MS. solo un indizio.
    a te pare una follia usare MS, e come te molti. alla stragrande maggioranza invece no.
    ti sorge mai il sospetto che, se il mondo va da una parte, e una schiacciante minoranza abbaia dicendo che son pazzi, la schiacciante minoranza ha un problema di comunicazione? o, semplicemente, non riesce ad elaborare una analisi minima dei fatti?
    buona fortuna --
    non+autenticato
  • ecco un ragionamento pieno di buon senso.
    chiudiamo p.i. e smettiamola di discutere. ha ragione la maggioranza, e ssssilenzio!
    puah.


    - Scritto da: Lock One
    > allora, mettiamola cosi'. non ti voglio dire
    > perche' si continua a preferire MS. solo un
    > indizio.
    > a te pare una follia usare MS, e come te
    > molti. alla stragrande maggioranza invece
    > no.
    > ti sorge mai il sospetto che, se il mondo va
    > da una parte, e una schiacciante minoranza
    > abbaia dicendo che son pazzi, la
    > schiacciante minoranza ha un problema di
    > comunicazione? o, semplicemente, non riesce
    > ad elaborare una analisi minima dei fatti?
    > buona fortuna --
    non+autenticato