Alessandro Del Rosso

Aero mette a rischio Windows 7 x64

Una vulnerabilitÓ in un driver di sistema legato all'interfaccia Aero potrebbe consentire ad un malintenzionato di bucare le versioni a 64 bit di Windows 7 Windows Server 2008 R2

Roma - Nelle versioni a 64 bit di Windows 7 e Windows Server 2008 R2 si cela una falla nel Canonical Display Driver (cdd.dll) che potrebbe essere sfruttata da malware o da cracker per eseguire del codice maligno, eventualmente anche a distanza.

Per sfruttare la vulnerabilità un malintenzionato dovrebbe indurre un utente ad aprire un'immagine malformata che impieghi le API GDI di Windows per il rendering. Tale immagine, una volta aperta all'interno di una qualsiasi applicazione (sia di Microsoft che di terze parti), potrebbe causare il crash del driver ed eseguire del codice. Quest'ultima possibilità, spiega Microsoft in questo avviso, è però limitata dal meccanismo ASLR di randomizzazione delle locazioni di caricamento delle DLL: per tale ragione BigM ha assegnato alla vulnerabilità un exploitability index pari a 3.

"Se anche si realizzasse un exploit, il risultato più probabile sarebbe quello di far crashare il sistema e indurre un riavvio" spiega Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, nel suo blog.
Chi non desidera correre rischi può mettersi al riparo da eventuali attacchi disattivando temporaneamente l'interfaccia grafica Aero (è sufficiente cambiare il tema del desktop selezionandone uno contenuto nella sezione Temi di base e a contrasto elevato).

Microsoft si è detta già al lavoro per sviluppare una patch che risolva il problema.

Alessandro Del Rosso
187 Commenti alla Notizia Aero mette a rischio Windows 7 x64
Ordina
  • E' microsoft non ha rilasciato nulla...
    Sgabbio
    26178
  • Io uso e preferisco Linux... Ma bisogna essere obbiettivi.

    Collegatevi ai programmi cataloga/correggi bug delle vartie distro linux e vedrete quanti bug ci sono senza che ancora ci sia una patch pronta.

    Ragazzi calma calma... Il computer... i S.O non sono la vostra vita... La vita è altro.
    non+autenticato
  • beh dai pure i computer fanno parte della vita, soprattutto quando i russi ti svuotano il conto corrente

    riguardo i bug è vero che esistono e pure linux ne ha....il problema però è che su secunia non è possibile seguire il percorso di patching per linux...quindi alcuni di quei bug praticamente non esistono più e tuttavia risultano come non patchati

    è un problema di comunicazione tra i team di sviluppo e chi gestisce quei db

    riguardo windows mi preoccupa piuttosto il trend ( mai in discesa ) di bug critici sfruttabili da remoto che ammontano a circa il 57% del totale dei bug di windows

    se ogni bug lo vediamo come una finestra di opportunità per i cattivi, allora si capisce che il 57% di windows contro il 7% di linux è una bella differenza

    alla fin fine è difficile che qualcuno entra nel tuo pc o server per avviare un programma che scala i privilegi, è molto più probabile che il programma arrivi da fuori e quindi i bug che portano ad esecuzione remota di codice sono quelli che creano più rogne

    p.s. l'altro problema è relativo alle tecnologie di sviluppo che ms crea...hanno creato .net eppure continuano ad usare il c++? se avessero usato c# quel bug non sarebbe mai esistito

    è mai possibile che i primi a non usare .net sono proprio loro?
    -----------------------------------------------------------
    Modificato dall' autore il 20 maggio 2010 15.33
    -----------------------------------------------------------
  • - Scritto da: pabloski
    > p.s. l'altro problema è relativo alle tecnologie
    > di sviluppo che ms crea...hanno creato .net
    > eppure continuano ad usare il c++? se avessero
    > usato c# quel bug non sarebbe mai
    > esistito
    >
    > è mai possibile che i primi a non usare .net sono
    > proprio
    > loro?

    Questa è la cosa che fa veramente riflettere!
    non+autenticato
  • - Scritto da: pabloski
    > p.s. l'altro problema è relativo alle tecnologie
    > di sviluppo che ms crea...hanno creato .net
    > eppure continuano ad usare il c++? se avessero
    > usato c# quel bug non sarebbe mai
    > esistito
    >
    > è mai possibile che i primi a non usare .net sono
    > proprio
    > loro?

    Da programmatore sia C++ che C# posso dire la mia opinione...

    Il C# è un ottimo linguaggio, che permette di lavorare sia ad alto che a basso livello, è più semplice e "produttivo" del C++ ed è molto più "type-safe".

    Però:

    - Un Hello World (WinForms) in .NET usa 14MB di RAM e apre su per giù 7 thread. L'analogo in C++ (MFC) apre 1 thread e beve 2MB di RAM.

    - Gli oggetti che Wrappano i controlli (bottoni, liste, ecc) mascherano molte proprietà che invece si hanno lavorando con le Win32.

    - Ogni oggetto (ad esempio l'oggetto Form) quando viene istanziato carica in memoria tante proprietà che magari non servono, ma sprecano memoria.

    - Se MS avesse riscritto ad esempio Windows Explorer in C# tutte le shell extension/plugin attualmente presenti non funzionerebbero più (e MS punta molto sulla retrocompatibilità).

    - MS è stata criticata per la lentezza di Vista, non poteva permettersi di cannare anche Win7.

    - I tool di sviluppo (come Visual Studio, SQL Enterprise Manager) usano .NET per le GUI (penso in C++.NET), perchè sono in rapida evoluzione e non necessitano quella "cura" della GUI come altri componenti di Windows.
    non+autenticato
  • D'accordo ma tieni conto che i WinForms, WPF sono tecnologie totalmente diverse da MFC... Intanto da come fatto e come stanzia la memoria. C++ usa solo quello che server. C#, VB.NET fanno i sprecchi solo qunado possono permettersi di farlo (se la memoria è quasi vuota 14MB in più o in meno non ci cambiano la vita) quindi quando è possibile lo fanno. Prova ad avviare Hello World quando la memoria è quasi al pieno e vedi quanto consuma. Tutto questo serve ad aumentare la fluidità del GUI: no a spreccare risorse... Sono totalmente daccordo su ciò che dice per la retrocompatibilità! E comunque C++ non gestito ovviamente ha comportamento differente. Non viene gestito CLR e IL...
    non+autenticato
  • > riguardo windows mi preoccupa piuttosto il trend
    > ( mai in discesa ) di bug critici sfruttabili da
    > remoto che ammontano a circa il 57% del totale
    > dei bug di
    > windows

    Ma queste vaccate le spari o le leggi realmente su qualche sito?

    Clicca per vedere le dimensioni originali

    Clicca per vedere le dimensioni originali>
    > se ogni bug lo vediamo come una finestra di
    > opportunità per i cattivi, allora si capisce che
    > il 57% di windows contro il 7% di linux è una
    > bella
    > differenza
    >
    > alla fin fine è difficile che qualcuno entra nel
    > tuo pc o server per avviare un programma che
    > scala i privilegi, è molto più probabile che il
    > programma arrivi da fuori e quindi i bug che
    > portano ad esecuzione remota di codice sono
    > quelli che creano più
    > rogne
    >
    > p.s. l'altro problema è relativo alle tecnologie
    > di sviluppo che ms crea...hanno creato .net
    > eppure continuano ad usare il c++? se avessero
    > usato c# quel bug non sarebbe mai
    > esistito
    >
    > è mai possibile che i primi a non usare .net sono
    > proprio
    > loro?
    > --------------------------------------------------
    > Modificato dall' autore il 20 maggio 2010 15.33
    > --------------------------------------------------
    non+autenticato
  • Una distro è un insieme di software più il kernel Linux,

    Pabloski parla di Linux inteso come Kernel:

    Clicca per vedere le dimensioni originali


    Invece di accusare gli altri di sparare vaccate, assicurati di aver letto e compreso bene prima di rispondere.
    -----------------------------------------------------------
    Modificato dall' autore il 20 maggio 2010 21.29
    -----------------------------------------------------------
  • - Scritto da: gnulinux86
    > Una distro è un insieme di software più il kernel
    > Linux,
    >
    > Pabloski parla di Linux inteso come Kernel:

    E quindi va confrontato con windows? che è un kernel?

    > [img]http://secunia.com/advisories/graph/?type=fro
    >
    >
    > Invece di accusare gli altri di sparare vaccate,
    > assicurati di aver letto e compreso bene prima di
    > rispondere.
    > --------------------------------------------------
    > Modificato dall' autore il 20 maggio 2010 21.29
    > --------------------------------------------------

    Ti dirò, l'avevo intuito, ma volevo dargli la possibilità di dire "ho sparato a caso", è molto meglio che dover ammettere di aver confrontato un kernel con un sistema operativo.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: gnulinux86
    > > Una distro è un insieme di software più il
    > > kernel Linux,

    > > Pabloski parla di Linux inteso come Kernel:
    > E quindi va confrontato con windows? che è un
    > kernel?

    Se hai statistiche sul kernel di windows tirale pure fuori.

    > [img]http://secunia.com/advisories/graph/?type=fro

    > > Invece di accusare gli altri di sparare vaccate,
    > > assicurati di aver letto e compreso bene prima
    > > di rispondere.

    > Ti dirò, l'avevo intuito, ma volevo dargli la
    > possibilità di dire "ho sparato a caso", è molto
    > meglio che dover ammettere di aver confrontato un
    > kernel con un sistema operativo.
    krane
    22544
  • > Se hai statistiche sul kernel di windows tirale
    > pure
    > fuori.

    Ammesso di averle, quale significato potrebbero avere? Tu non installi il kernel di windows e non installi il kernel di linux, installi windows e linux imbuto, cappellorosso, magochesparisce, fiaccoware, ecc.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Se hai statistiche sul kernel di windows tirale
    > > pure fuori.

    > Ammesso di averle, quale significato potrebbero
    > avere? Tu non installi il kernel di windows e non
    > installi il kernel di linux, installi windows e
    > linux imbuto, cappellorosso, magochesparisce,
    > fiaccoware, ecc.

    Quindi Kernel + GNU utils. Tutto il resto e' opzionale e a scelta. Hai mai installato un server con cappellorosso ?
    krane
    22544
  • la grafica sui server?
    i server VERI si amministrano a riga di comando.
    Ah gia', ma qui parliamo di windows, mi ero confuso.
    non+autenticato
  • - Scritto da: attonito
    > la grafica sui server?
    > i server VERI si amministrano a riga di comando.
    > Ah gia', ma qui parliamo di windows, mi ero
    > confuso.

    Lol... ne è arrivato un altro. Cantine aperte oggi?
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: attonito
    > > la grafica sui server?
    > > i server VERI si amministrano a riga di comando.
    > > Ah gia', ma qui parliamo di windows, mi ero
    > > confuso.
    >
    > Lol... ne è arrivato un altro. Cantine aperte
    > oggi?

    Quindi secondo te che windows server 2008 dia la possibilita' di non avere interfaccia grafica e' una involuzione ?

    http://www.myitforum.com/articles/1/view.asp?id=11...
    krane
    22544
  • > Quindi secondo te che windows server 2008 dia la
    > possibilita' di non avere interfaccia grafica e'
    > una involuzione
    > ?
    >
    > http://www.myitforum.com/articles/1/view.asp?id=11

    Dare una possibilità in più è sempre un'evoluzione.
    Amministrare i server a riga di comando per sentirsi fighi è involuzione.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Quindi secondo te che windows server 2008 dia la
    > > possibilita' di non avere interfaccia grafica e'
    > > una involuzione
    > > ?
    > >
    > >
    > http://www.myitforum.com/articles/1/view.asp?id=11
    >
    > Dare una possibilità in più è sempre
    > un'evoluzione.
    >
    > Amministrare i server a riga di comando per
    > sentirsi fighi è
    > involuzione.

    Amministrare i server da linea di comando sara' da fighi!

    Ma amministrarli col clicca clicca e' da incapaci!
  • - Scritto da: nome e cognome
    > > Quindi secondo te che windows server 2008 dia la
    > > possibilita' di non avere interfaccia grafica e'
    > > una involuzione ?

    > http://www.myitforum.com/articles/1/view.asp?id=11

    > Dare una possibilità in più è sempre
    > un'evoluzione.

    > Amministrare i server a riga di comando per
    > sentirsi fighi è involuzione.

    Ora possono farlo anche i winari Rotola dal ridere
    krane
    22544
  • - Scritto da: nome e cognome
    > > Quindi secondo te che windows server 2008 dia la
    > > possibilita' di non avere interfaccia grafica e'
    > > una involuzione
    > > ?
    > >
    > >
    > http://www.myitforum.com/articles/1/view.asp?id=11
    >
    > Dare una possibilità in più è sempre
    > un'evoluzione.
    >
    > Amministrare i server a riga di comando per
    > sentirsi fighi è
    > involuzione.

    Esportare il concetto desktop su server, rappresenta un grosso rischio per la sicurezza, lo dimostra la vulnerabilità di Aero, se si riavvia un desktop potremmo chiedere un occhio, ma se il riavvio riguarda un server il discorso cambia.

    Anche su server Linux, ci puoi installare un DE, ma la trovo una scelta non consona all'uso server.
  • > Esportare il concetto desktop su server,
    > rappresenta un grosso rischio per la sicurezza,
    > lo dimostra la vulnerabilità di Aero, se si
    > riavvia un desktop potremmo chiedere un occhio,
    > ma se il riavvio riguarda un server il discorso
    > cambia.
    >
    > Anche su server Linux, ci puoi installare un DE,
    > ma la trovo una scelta non consona all'uso
    > server.

    Nonsense, la GUI è utile sia all'utente desktop che all'amministratore perchè un percorso guidato e chiaro vuol dire meno errori.

    E' noto a chiunque che la maggior parte dei problemi di sicurezza non sono dovuti a bug ma a configurazione errata.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Esportare il concetto desktop su server,
    > > rappresenta un grosso rischio per la sicurezza,
    > > lo dimostra la vulnerabilità di Aero, se si
    > > riavvia un desktop potremmo chiedere un occhio,
    > > ma se il riavvio riguarda un server il discorso
    > > cambia.

    > > Anche su server Linux, ci puoi installare un DE,
    > > ma la trovo una scelta non consona all'uso
    > > server.

    > Nonsense, la GUI è utile sia all'utente desktop
    > che all'amministratore perchè un percorso guidato
    > e chiaro vuol dire meno errori.

    Ecco perche' windows server 2008 ha la possibilita' di eliminarla: stava inziando ad essere un sistema server serio quindi sono stati introdotti errori.

    > E' noto a chiunque che la maggior parte dei
    > problemi di sicurezza non sono dovuti a bug ma a
    > configurazione errata.

    Gia, come in questo caso, in pratica con windows basta fare il contrario del default Rotola dal ridere
    krane
    22544
  • Bene bene, quindi si a Windows Server 2008 con Aero abilitato che fa riavviare il tutto....Occhiolino
  • - Scritto da: gnulinux86
    > Bene bene, quindi si a Windows Server 2008 con
    > Aero abilitato che fa riavviare il tutto....
    >Occhiolino

    No molto è più divertente usare linux, lo spasso di editare a mano 15.000 file di test e sapere che una virgola al posto giusto da accesso all'intera rete a chiunque non ha prezzo. Coi wizard è tutto cosi' noioso.
    non+autenticato
  • Credevo che dopo Xp che si bucava con IE più tasto F1, lo show fosse finito, ma invece la comicità di Redmond non ha limiti adesso anche Aero(da notare solo su Win7...Rotola dal ridere ).

    In attesa della patch cosa farann tutti i Win7 user vivranno senza Aero!??? DelusoIn lacrimeRotola dal ridere
  • Un mio amico mi ha dato del paranoico perchè l'ho disabilitato in attesa della patchTriste
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Un mio amico mi ha dato del paranoico perchè l'ho
    > disabilitato in attesa della patch
    >Triste
    Ed è stato ancora buono, io a te avrei aggettivi molto più pesanti da attribuirti.
    non+autenticato
  • - Scritto da: scrotone
    > - Scritto da: Sgabbio
    > > Un mio amico mi ha dato del paranoico perchè
    > > l'ho disabilitato in attesa della patch
    > >Triste
    > Ed è stato ancora buono, io a te avrei aggettivi
    > molto più pesanti da attribuirti.

    Ok, ma fossi in te eviterei accuratamente di comprendere "analfabeta" tra quegli insulti...
    krane
    22544
  • Che bello abusare dell'anonimato...vero ?A bocca aperta
    Sgabbio
    26178
  • Lo so, lo consiglia anche Ms stessa, sarann paranoici anche loro!? Occhiolino
  • Appunto, l'hanno detto pure loroA bocca aperta
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Un mio amico mi ha dato del paranoico perchè l'ho
    > disabilitato in attesa della patch
    >Triste

    E ha ragione...
    non+autenticato
  • /Battutona ON/
    Ci credo che la cdd.dll abbia la falla: è stata programmata da Canonical (Canonical Display Driver), quindi gli sviluppatori sono più bravi con Ubuntu che con Windows!
    /Battutona OFF/

    P.S. Adoro Ubuntu, anche se la 10.04 mi dà grossi problemi con tastiera e mouse PS/2!!!
    non+autenticato
  • - Scritto da: Modestino

    > P.S. Adoro Ubuntu, anche se la 10.04 mi dà grossi
    > problemi con tastiera e mouse
    > PS/2!!!

    e te metticeli USB, ché sarebbe anche l'ora
  • io ho notato che le tastiere usb su win non funzionano quando sei nel menu d'avvioA bocca aperta
    Sgabbio
    26178
  • può darsi che sia perché USB è una tecnologia troppo recente
  • ma quale menù d'avvio? funzionano pure nel bios, e nel grub e nel menù start di win 7
    non+autenticato
  • marca logitech
    non+autenticato
  • il menu che ti appare quando devi scegliere la modialità d'avvio tipo modalità provvisoria ecc ecc.
    Sgabbio
    26178
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)