PowerPoint, la megapatch Ŕ servita

Nel suo pi¨ recente bollettino di sicurezza Microsoft ha corretto oltre una dozzina di vulnerabilitÓ, tra cui una zero-day giÓ sfruttata in alcuni attacchi. Ancora sotto test le patch per Office for Mac

Roma - Come previsto, nella nottata di martedì Microsoft ha sistemato una seria vulnerabilità di sicurezza in PowerPoint nota da almeno sei settimane. Di tale falla esiste già un exploit pubblico utilizzato per forgiare documenti che, una volta aperti, possono eseguire del codice dannoso.

La debolezza, descritta nel bollettino MS09-017, è considerata "critica" in Office 2000 e "importante" in Office XP, Office 2003 e Office 2007. Questo stesso problema affligge anche le versioni di Office per Mac e MS Works, ma la patch per tali prodotti non è ancora disponibile: BigM ha detto sarà rilasciata non appena supererà i necessari test di qualità.

Il fatto che Microsoft abbia deciso di rilasciare adesso la patch per Windows e rimandare quella per Mac è da ricercare nel fatto che le versioni per Windows di PowerPoint sono già il target di attacchi zero-day.
La vulnerabilità può essere sfruttata da un malintenzionato inducendo un utente ad aprire un file PowerPoint maligno: tale file, una volta caricato in Office, corrompe la memoria e causa il crash dell'applicazione, consentendo l'esecuzione di codice dannoso. Documenti PowerPoint maligni potrebbero essere distribuiti attraverso la posta elettronica, il Web o il P2P.

Microsoft ha spiegato che nelle versioni di PowerPoint successive alla 2000 la falla non è considerata critica perché l'exploit non può essere eseguito automaticamente, ma richiede l'autorizzazione da parte dell'utente.

Il bollettino MS09-017 corregge altre tredici vulnerabilità di PowerPoint, ma a differenza della precedente, Microsoft spiega che queste le sono state segnalate privatamente, dunque i dettagli non sono pubblici. In tutti i casi, tuttavia, il rischio è sempre relativo all'esecuzione di codice a distanza.

"Tali vulnerabilità potrebbero consentire l'esecuzione di codice in modalità remota se un utente apre un file di PowerPoint appositamente predisposto", si legge nel bollettino di Microsoft. "Sfruttando una di queste vulnerabilità, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione".

Delle 14 vulnerabilità corrette da Microsoft, 10 sono state riportate da VeriSign iDefense, una società che paga i bug hunter per portare alla luce i difetti che si annidano nelle principali applicazioni commerciali. iDefense afferma di aver sviluppato internamente anche alcuni exploit dimostrativi, ma di non averli rilasciati al pubblico.
92 Commenti alla Notizia PowerPoint, la megapatch Ŕ servita
Ordina
  • Mi spiace cari linari e macachi, Windows domina e voi rosicare.
    l'UE migrerà a Win7 al 100% nel giro di pochi mesi.

    Microsoft una fede, o con noi o con noi, non avete alternative, poveracci.
    non+autenticato
  • In moltissimi bollettini di MS è presente la seguente frase:

    "Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione"

    Al di là del fatto che poi non si specifica mai quale sia il reale grado di rischio se la vulnerabilità viene sfruttata in modalità non-admin, è un motivo in più per smetterla di lavorare sempre e solo con privilegi di administrator. Peccato che il 99.9% degli utenti Windows si logghi sempre come admin, cosa che per il 99.9% del tempo e delle cose che si devono fare non è necessaria.

    Purtroppo c'è ancora la falsa credenza che senza essere admin non funzioni nulla, ma in realtà non è più così da anni.
    non+autenticato
  • - Scritto da: Fabio D.
    > Peccato che il 99.9% degli utenti
    > Windows si logghi sempre come admin,

    Non più da almeno 2 anni, grazie a Windows Vista.
    non+autenticato
  • soprattutto da quando gli utenti casalinghi di vista disabilitano uac
    tuba
    342
  • - Scritto da: Fabio D.

    > Purtroppo c'è ancora la falsa credenza che senza
    > essere admin non funzioni nulla, ma in realtà non
    > è più così da anni.

    Infatti da un paio di anni con vista non funziona nulla anche se si è admin!!! CylonCylonCylon
    non+autenticato
  • - Scritto da: D. Fabio
    > - Scritto da: Fabio D.
    >
    > > Purtroppo c'è ancora la falsa credenza che senza
    > > essere admin non funzioni nulla, ma in realtà
    > non
    > > è più così da anni.
    >
    > Infatti da un paio di anni con vista non funziona
    > nulla anche se si è admin!!!
    > CylonCylonCylon

    Esagerato.
    Ci sono almeno un paio di virus che stanno funzionando benissimo e che si sono ben propagati anche sui pochi Vista che si trovano in giro.
  • Beh, sarò autorizzato a fare quello che voglio col *mio* PC?
    Non è che puoi forzare tutti ad utilizzare una login di admin solo in caso di necessità.
    Tra l'altro molti sw si installano solo come admin, e già faccio fatica a far capire il concetto "premi shut down per spegnere e NON staccare il cavo", figurati fargli fare la rana tra i loginA bocca aperta
  • > concetto "premi shut down per spegnere e NON
    > staccare il cavo", figurati fargli fare la rana
    > tra i login
    >A bocca aperta

    Quindi meglio fargli fare il macaco tra i virus????

    Interessante concetto.
    non+autenticato
  • - Scritto da: Valeren
    > Beh, sarò autorizzato a fare quello che voglio
    > col *mio* PC ?

    Come per un'auto da pista finche la fai girare in pista puo' anche non seguire le regole della strada riguardo a luci, freni, ecc...

    > Non è che puoi forzare tutti ad utilizzare una
    > login di admin solo in caso di necessità.

    Va bene, pero' ti tolgo connettivita' appena scopro che appesti la rete causa un virus.

    > Tra l'altro molti sw si installano solo come
    > admin, e già faccio fatica a far capire il
    > concetto "premi shut down per spegnere e NON
    > staccare il cavo", figurati fargli fare la rana
    > tra i login
    >A bocca aperta

    Pensa per girare per strada quanti concetti che si potrebbero anche non imparare : attraversamento semaforico, rispetto per gli altri, segnali di divieto e pericolo, ecc...
    krane
    22544
  • Senza alcun dubbio, usare l'account con privilegi limitati, aumenta nel complessivo la sicurezza del sistema, ma come fai notare tu, la stessa Microsoft, dice " esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione ", si riduce l'esposizione all'attacco ma non la pericolosità.


    Ma quando si è di fronte vulnerabilità Extremely Critical con exploit diffusi come quella appena discussa su Powerpoint, o come quelle che spesso affliggono IE, non c'è niente dare.
  • - Scritto da: gnulinux86
    > come quelle che spesso
    > affliggono IE, non c'è niente
    > dare.

    ciccio, guarda che anche Firefox ogni mese ha vulnerabilità HIGHLY CRITICAL (fatti un giro su secunia ogni mese)
    non+autenticato
  • Ciccio, quando riporti i miei messaggi, riportali bene, la frase intera è questa:

    << Ma quando si è di fronte vulnerabilità Extremely Critical con exploit diffusi come quella appena discussa su Powerpoint, o come quelle che spesso affliggono IE, non c'è niente dare. >>

    Sto parlando di Extremely Critical, l'unico browser ad esserne afflitto è solo IE:

    http://secunia.com/advisories/product/12366/?task=...

    Tutti i browser sono soggetti a bugs, ma le falle Extremely Critical sono un esclusiva di IE.

    http://secunia.com/advisories/product/19089/?task=...

    http://secunia.com/advisories/product/10615/?task=...

    http://secunia.com/advisories/product/17989/?task=...
  • Verrebbe il dubbio che a parte l'interfaccia (decisamente peggiorara in 2007 rispetto a 2003) sotto sotto non è mai cambiato nulla.
    E le revisione di codice con i nuovi fantastici strumenti per rilevare le vulnerabilità ?? e tutto l'impegno per la sicurezza strombazzato ??
    Inoltre son stati costretti a rilasciare le patch per so Microsoft prima di finire i test di qualità perchè ci sono exploit che girano, mentre su so Mac stanno aspettando di finire i test, quindi aspettiamoci tranquillamente problemi "qualitativi" con queste pezze.
  • - Scritto da: lalla63
    > Verrebbe il dubbio che a parte l'interfaccia
    > (decisamente peggiorara in 2007 rispetto a 2003)
    > sotto sotto non è mai cambiato
    > nulla.
    > E le revisione di codice con i nuovi fantastici
    > strumenti per rilevare le vulnerabilità ?? e
    > tutto l'impegno per la sicurezza strombazzato
    > ??
    > Inoltre son stati costretti a rilasciare le patch
    > per so Microsoft prima di finire i test di
    > qualità perchè ci sono exploit che girano, mentre
    > su so Mac stanno aspettando di finire i test,
    > quindi aspettiamoci tranquillamente problemi
    > "qualitativi" con queste
    > pezze.

    Hai idea di come si gestisca un progetto immenso come quello di Office? Versioning e dipendenze delle centinaia/migliaia di librerie e componenti è un qualcosa da capogiro per chi deve fare le build. Ti assicuro che, anche in progetti molto più piccoli, il core rimane sempre quello iniziale (con funzionalità aggiunte nel tempo); quindi non ci trovo nulla di strano nel fatto che se una versione di una libreria ha un bug probabilmente lo ha anche quella di 10 anni più vecchia (lavorando su progetti medio-grossi questa è normale prassi). L'unica soluzione a ciò, parlo in generale, sarebbe ripartire ogni volta da zero.
  • - Scritto da: Pino dei Palazzi
    > Hai idea di come si gestisca un progetto immenso
    > come quello di Office?

    Ne' piu' ne' meno come quello di OpenOffice, con la non trascurabile differenza che il secondo viene distribuito in vasetti trasparenti.

    > Versioning e dipendenze
    > delle centinaia/migliaia di librerie e componenti
    > è un qualcosa da capogiro per chi deve fare le
    > build.

    Sara' qualcosa da capogiro per chi lavora con zappa e aratro.
    Ad un programmatore non viene il capogiro quando programma, cosi' come non viene il capogiro al salumiere mentre affetta o all'avvocato mentre arringa.

    Il trucco e' semplice: ognuno faccia il suo mestiere.

    > Ti assicuro che, anche in progetti molto
    > più piccoli, il core rimane sempre quello
    > iniziale (con funzionalità aggiunte nel tempo);

    Questo capita nei progetti commerciali.
    In quelli non commerciali il core viene ottimizzato e riscritto ogni volta che si presenta la necessita'.

    > quindi non ci trovo nulla di strano nel fatto che
    > se una versione di una libreria ha un bug
    > probabilmente lo ha anche quella di 10 anni più
    > vecchia (lavorando su progetti medio-grossi
    > questa è normale prassi).

    E' gia'... anche quelli che costruiscono palazzi grossi lo dicono: e' normale aspettarsi che un pilastro o due siano incrinati durante la posa...

    > L'unica soluzione a
    > ciò, parlo in generale, sarebbe ripartire ogni
    > volta da
    > zero.

    E allora perche' non viene adottata?
  • > E allora perche' non viene adottata?

    Perchè è un idiozia.
    non+autenticato
  • - Scritto da: nome e cognome

    > > E allora perche' non viene adottata?
    > Perchè è un idiozia.

    Il tread e' un po' lungo quindi ho letto solo il tuo post per farmi un'idea, puoi spiegare meglio ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: nome e cognome
    >
    > > > E allora perche' non viene adottata?
    > > Perchè è un idiozia.
    >
    > Il tread e' un po' lungo quindi ho letto solo il
    > tuo post per farmi un'idea, puoi spiegare meglio
    > ?

    Riscrivere da capo ogni volta una suite di programmi come office per evitare che un bug colpisca le versioni precedenti... non credo ci siano molti commenti possibili.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: krane
    > > - Scritto da: nome e cognome

    > > > > E allora perche' non viene adottata?
    > > > Perchè è un idiozia.

    > > Il tread e' un po' lungo quindi ho letto solo il
    > > tuo post per farmi un'idea, puoi spiegare meglio
    > > ?

    > Riscrivere da capo ogni volta una suite di
    > programmi come office per evitare che un bug
    > colpisca le versioni precedenti... non credo ci
    > siano molti commenti possibili.

    Cioe' quello che dice microsoft ogni volta : tutto riscritto da capo, piu sicuro piu' fico piu' nuovo ecc...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: nome e cognome
    > > - Scritto da: krane
    > > > - Scritto da: nome e cognome
    >
    > > > > > E allora perche' non viene adottata?
    > > > > Perchè è un idiozia.
    >
    > > > Il tread e' un po' lungo quindi ho letto solo
    > il
    > > > tuo post per farmi un'idea, puoi spiegare
    > meglio
    > > > ?
    >
    > > Riscrivere da capo ogni volta una suite di
    > > programmi come office per evitare che un bug
    > > colpisca le versioni precedenti... non credo ci
    > > siano molti commenti possibili.
    >
    > Cioe' quello che dice microsoft ogni volta :
    > tutto riscritto da capo, piu sicuro piu' fico
    > piu' nuovo
    > ecc...

    Mi trovi un comunicato di MS che dice di aver riscritto il software da capo? Che invece siano più sicuri, più fichi e più nuovi non ci vedo niente di male...
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: krane
    > > - Scritto da: nome e cognome
    > > > - Scritto da: krane
    > > > > - Scritto da: nome e cognome
    > >
    > > > > > > E allora perche' non viene adottata?
    > > > > > Perchè è un idiozia.
    > >
    > > > > Il tread e' un po' lungo quindi ho letto
    > solo
    > > il
    > > > > tuo post per farmi un'idea, puoi spiegare
    > > meglio
    > > > > ?
    > >
    > > > Riscrivere da capo ogni volta una suite di
    > > > programmi come office per evitare che un bug
    > > > colpisca le versioni precedenti... non credo
    > ci
    > > > siano molti commenti possibili.
    > >
    > > Cioe' quello che dice microsoft ogni volta :
    > > tutto riscritto da capo, piu sicuro piu' fico
    > > piu' nuovo
    > > ecc...
    >
    > Mi trovi un comunicato di MS che dice di aver
    > riscritto il software da capo?

    Che invece siano
    > più sicuri, più fichi e più nuovi non ci vedo
    > niente di
    > male...

    Fosse vero sarebbe una grande novità
    non+autenticato
  • - Scritto da: panda rossa
    >.....

    Non so tu su che progetti hai mai lavorato ma io per 3 anni su uno di circa 20 milioni di righe di codice e ti assicuro che di bug su librerie vecchie di 10 anni ne ho visti parecchi (e condivisi nelle varie versioni). Più di una volta ho dovuto fixare e ricompilare librerie in più versioni per poter poi rilasciare le patch relative alle versioni dei prodotti. Si chiama supporto commerciale e spesso, nei prodotti Open, è un vantaggio per lo sviluppatore che può, più facilmente, fare orecchie da mercante ma è uno svantaggio per l'utente finale (con le dovute eccezioni è chiaro).

    Secondo me è normale prassi sia nel mondo Open che Closed, non ci vedo tanta differenza. O forse quando trovano un bug nel core di Mozilla 3, non c'è in Mozilla 2? Non credo.

    Poi si può discutere sulla modalità di risoluzione, e tante altre cose ma esulerebbe dal mio discorso.
    -----------------------------------------------------------
    Modificato dall' autore il 14 maggio 2009 11.45
    -----------------------------------------------------------
  • - Scritto da: Pino dei Palazzi
    > - Scritto da: panda rossa
    > >.....
    >
    > Non so tu su che progetti hai mai lavorato ma io
    > per 3 anni su uno di circa 20 milioni di righe di
    > codice e ti assicuro che di bug su librerie
    > vecchie di 10 anni ne ho visti parecchi (e
    > condivisi nelle varie versioni).

    Pure io. Magari non di 10 anni, ma se pazientiamo ancora un po'...

    Io li sollevo i problemi.

    > Più di una volta
    > ho dovuto fixare e ricompilare librerie in più
    > versioni per poter poi rilasciare le patch
    > relative alle versioni dei prodotti.

    Qui non ti seguo: evidentemente sviluppiamo per target diversi.
    Io non rilascio patch, io metto in produzione la nuova versione corretta. Punto.

    > Si chiama
    > supporto commerciale e spesso, nei prodotti Open,
    > è un vantaggio per lo sviluppatore che può, più
    > facilmente, fare orecchie da mercante ma è uno
    > svantaggio per l'utente finale (con le dovute
    > eccezioni è
    > chiaro).

    Lo sviluppatore non fa mai orecchie da mercante.
    Lo sviluppatore sviluppa.
    Se c'e' qualcuno che fa orecchie da mercante, magari e' tutta la struttura commerciale che c'e' tra lo sviluppatore e il cliente.

    Nei prodotti Open questa struttura non c'e' e l'utente puo' segnalare personalmente bug e/o miglioramenti.

    > Secondo me è normale prassi sia nel mondo Open
    > che Closed, non ci vedo tanta differenza. O forse
    > quando trovano un bug nel core di Mozilla 3, non
    > c'è in Mozilla 2? Non credo.

    Non so, dipende dal bug.
    Se riguarda qualcosa di preesistente o qualcosa di nuovo.
    Ma in ogni caso quando dicono "il core e' stato riscritto", se fosse vero non ci dovrebbero essere queste situazioni.
    Se ci sono allora non e' vero che "e' stato riscritto", e' stato solo ricompilato.
  • Grazie del link.

    Ma già nell'articolo, c'è questo:

    http://www.microsoft.com/italy/technet/security/bu...

    Credo che sia sufficiente.