Alessandro Del Rosso

Google scova falle in Windows XP

Una vulnerabilitÓ potenzialmente grave Ŕ stata scoperta da un ricercatore di BigG nelle funzioni di Help del vecchio OS di Microsoft. Pubblicato anche un exploit e un fix non ufficiale. Irritazione a Redmond

Roma - Un ricercatore di sicurezza che lavora per Google ha identificato una vulnerabilità potenzialmente grave nel componente Windows Help and Support Center (Guida in linea e supporto tecnico, helpctr.exe) di Windows XP e Windows Server 2003. Più nel dettaglio, il problema è legato ad un bug di tipo cross-site scripting nella gestione degli URI (Universal Resource Identifier) hcp://: questa debolezza potrebbe essere sfruttata da un malintenzionato per aggirare i controlli di sicurezza di helpctr.exe e, per mezzo di un link maligno, eseguire uno script o un programma con gli stessi privilegi dell'utente.

Microsoft ha confermato l'esistenza della falla nell'advisory 2219475, dove precisa di non essere a conoscenza di attacchi in atto. Ma potrebbe essere solo questione di tempo: Tavis Ormandy, lo scopritore della falla, ha infatti divulgato tutti i dettagli del bug, compreso il codice di un exploit dimostrativo. Il ricercatore britannico ha corredato il proprio advisory di un fix temporaneo, ma come spiegato da Microsoft, e come poi ammesso dallo stesso Ormandy, questo workaround manca di risolvere il problema all'origine: di conseguenza può essere facilmente bypassato.

In attesa che venga rilasciata una patch ufficiale, Microsoft suggerisce ai propri utenti di applicare il workaround descritto nel suo advisory e in questo post: il suo scopo è quello di disattivare il protocol handler hcp:// così che i link di questo tipo non vengano più gestiti dal sistema. Così facendo, avverte BigM, si compromette però la funzionalità dell'Help di Windows.
Microsoft ha spiegato che l'exploit proof-of-concept scritto da Ormandy funziona esclusivamente con Windows XP, mentre è inefficace con Windows Server 2003: al momento l'azienda sostiene di non essere ancora riuscita a trovare un modo per sfruttare con successo la falla sotto questo sistema operativo.

Microsoft ha criticato Ormandy per averle segnalato il problema con soli cinque giorni di anticipo rispetto alla sua divulgazione pubblica. Il gigante di Redmond ha poi aggiunto che il fix non ufficiale rilasciato dal ricercatore di Google può fornire agli utenti un falso senso di sicurezza, aggravando la situazione. "(...) Lascio a voi commentare come si possa giudicare l'operato di Google al riguardo" ha chiosato Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, in questo post.

Per altri approfondimenti sulla vulnerabilità si rimanda ai post pubblicati da Microsoft sui blog MSRC e SR&D, e a questo post di Secunia.

Alessandro Del Rosso
306 Commenti alla Notizia Google scova falle in Windows XP
Ordina
  • Per tutti i contrari all'open source....vi ricordo, che anche se ammettiamo che siano pari, almeno non lo paghi!
    non+autenticato
  • io dal 2007 sono passato a Vista e sono immune da questa falla. Tiè!Rotola dal ridere
    non+autenticato
  • non temere ce ne sono molto altre che funzionano pure su tetteA bocca aperta
    non+autenticato
  • anche, e va una meraviglia... Occhiolino
    non+autenticato
  • Io ho tenuto XP per i giochi e sono passato a Ubuntu per tutto il resto.
    E di queste falle me ne frego altamente, non devo usare un antivirus, ho un pc veloce, all'occorenza con crossover posso usare i programmi windows.
    Ubunto
    1350
  • - Scritto da: Ubunto
    > non devo usare un antivirus

    per forza, in quanto di default su linux non puoi eseguire una cippa lippa, devi ogni volta andare aprire una shell e digitare chmod +x su ogni file che intendi eseguire. Basterebbe rendere togliere di default l'esecuzione di ogni file su su Windows 8, per renderlo immune dai virs, ma poi scommetto che poi la gente si lamenterebbe che ogni volta dove digitare tal comando o in maniera automatica rispondere di si/no...
    non+autenticato
  • si ma linux i programmi li installi senza problemi e poi li esegui senza problemi

    con windows come fai? scaricare l'installer e poi? devi aprire il terminale, cambiare i permessi e finalmente eseguire l'installer

    poi vai nelle directory dove sono stati installati gli eseguibili e cambi i permessi pure a quelli
    non+autenticato
  • - Scritto da: gladiato
    > - Scritto da: Ubunto
    > > non devo usare un antivirus
    >
    > per forza, in quanto di default su linux non puoi
    > eseguire una cippa lippa, devi ogni volta andare
    > aprire una shell e digitare chmod +x su ogni file
    > che intendi eseguire. Basterebbe rendere togliere
    > di default l'esecuzione di ogni file su su
    > Windows 8, per renderlo immune dai virs, ma poi
    > scommetto che poi la gente si lamenterebbe che
    > ogni volta dove digitare tal comando o in maniera
    > automatica rispondere di
    > si/no...

    I permessi di esecuzione li dai solo una volta, non ogni volta. Ed anche il caso che hai citato è limitato alle installazioni che non si affidano ad un package manager. Nel 99% dei casi non è necessario dare i permessi di esecuzione (perché li assegna il programma di installazione). Sorride
    Ubunto
    1350
  • - Scritto da: gladiato
    > - Scritto da: Ubunto
    > > non devo usare un antivirus
    >
    > per forza, in quanto di default su linux non puoi
    > eseguire una cippa lippa, devi ogni volta andare
    > aprire una shell e digitare chmod +x su ogni file
    > che intendi eseguire. Basterebbe rendere togliere
    > di default l'esecuzione di ogni file su su
    > Windows 8

    Come si dice "la speranza è l'ultima a morire...". E' in questo caso la speranza è che prima o poi M$ faccia un OS decente, cosa che fino ad oggi non si è verificata Occhiolino
    non+autenticato
  • > per forza, in quanto di default su linux non puoi
    > eseguire una cippa lippa, devi ogni volta andare
    > aprire una shell e digitare chmod +x su ogni file
    > che intendi eseguire.

    lo fanno i packet manager in automatico e se vuoi farlo su uno script sono **** tuoi
    non+autenticato
  • - Scritto da: suc
    > io dal 2007 sono passato a Vista e sono immune da
    > questa falla.
    > Tiè!Rotola dal ridere

    Da questa si... ma dalle altre centinaia?
    non+autenticato
  • io uso debian stabile,
    auguri con qualunque os windows
    ciaooo
    non+autenticato
  • Mi sembra che l'operato di google sia stato migliore di quello di Ms, visto che loro hanno scoperto la falla e sono anche stati cortesi nel segnalarla (anche se con poco preavviso, a quanto dicono in MS).

    Sta di fatto che l'utente con Xp e fratelli ha sempre avuto un falso senso di sicurezza...non e' certo l'ennesimo baco/falla a preoccupare...eravamo gia' preoccupati...
    non+autenticato
  • ... gli dovevano dare. Perche' e' quello che si meritano visto il loro comportamento. C'e' gente che perde del tempo prezioso a scovare difetti dei concorrenti perche' obbligata senno' i loro prodotti rischiano finiscono per essere dei mezzi utilzzati per eseguire attacchi.

    Che buffoni !!!
    non+autenticato
  • "Lascio a voi commentare come si possa giudicare l'operato di Google al riguardo"

    una ottima cosa: e voi altri avreste dovuto muovere le chiappe.
    invece di sfornare sistemi operativi nuovi, dovete aggiornare quelli più diffusi e correggere i buchi
    non+autenticato
  • Dicono che quello nuovo è il più sicuro di sempre...

    Poi però ogni nuovo virus o bug affligge tutta la famiglia compresi i nuovi nati!

    E questa presa per il culo va avanti da 20 anni.
    iRoby
    6325
  • E gli utenti Open Source dicono dal 2001 che domani il loro sistema del cuore diventa il più usato. Oggi mi pare più che evidente che lo è!A bocca aperta
    non+autenticato
  • Intanto che sia il più usato è vero. Perché tra server Internet e di rete, NAS, router, access point, lettori DVD, smartphone e apparecchi di ogni genere, lo trovi ovunque, e di questi apparecchi ce ne sono più che PC, quindi l'affermazione non è falsa.

    Secondo, Linux continua a crescere tra gli sviluppatori, nelle P.A. e nelle scuole.

    Proprio quest'inverno è stata inaugurata la nuova scuola media del mio paese e l'aula di informatica è tutta Ubuntu!

    E la crisi economica darà un'impennata alla diffusione di Linux nelle P.A.
    iRoby
    6325
  • Se non guardiamo l'Italia ma il resto del mondo. Dove lo vedi Linux nelle P.A. ? E nelle scuole? Mi pare che in Italia un sacco di istituti superiori usa .NET come tecnologia e gli altri usano Java e comunque sotto Windows. Io nelle scuole per cui abbiamo sviluppato un paio di programmini non l'ho mai visto il pc con Linux. MAI! Apple quello sì ma Linux temo di no.
    Sto proprio in questo momento sviluppando un software per la gestione dei voti, e-learning, etc... per una scuola superiore, ovviamente con C# .NET e non ho potuto fare altro che ridere dopo aver visto la loro precedente gestione bassata su serve apache. Tutti sostituiti ora con Windows Server e la qualità si risente.
    E se la prendi in quel modo, anche i formati proprietari di MS sono dapertutto. E gli apparechi che li contengono sono idem più numerosi dei PC. Basta guardare wma, ma ce ne sono...
    non+autenticato
  • - Scritto da: Mbdf
    > Se non guardiamo l'Italia ma il resto del mondo.
    > Dove lo vedi Linux nelle P.A. ? E nelle scuole?
    > Mi pare che in Italia un sacco di istituti
    > superiori usa .NET come tecnologia e gli altri
    > usano Java e comunque sotto Windows. Io nelle
    > scuole per cui abbiamo sviluppato un paio di
    > programmini non l'ho mai visto il pc con Linux.
    > MAI! Apple quello sì ma Linux temo di
    > no.
    > Sto proprio in questo momento sviluppando un
    > software per la gestione dei voti, e-learning,
    > etc... per una scuola superiore, ovviamente con
    > C# .NET e non ho potuto fare altro che ridere
    > dopo aver visto la loro precedente gestione
    > bassata su serve apache. Tutti sostituiti ora con
    > Windows Server e la qualità si
    > risente.
    > E se la prendi in quel modo, anche i formati
    > proprietari di MS sono dapertutto. E gli
    > apparechi che li contengono sono idem più
    > numerosi dei PC. Basta guardare wma, ma ce ne
    > sono...

    in molte università hanno adottato ubuntu come so client.. molte pubbliche amministrazioni hanno eliminato server ms per passare a linux.. molte scuole superiori hanno aule miste ubuntu xp molti uffici hanno eliminato office di ms per open office.. sono realtà che vivo in prima persona.. si è vero ms ha una enorme fetta ma dire che linux non si sta facendo spazio significa non aprire gli occhi..

    ps. tu hai messo windows server al posto di apache?.. e magari speri anche che un ragazzino un po piu smaliziato degli altri non lo butti giu?
  • Dove lavoro io (università), un gran numero di persone grazie alle falle ed alla scarsa qualità di windows mi hanno chiesto informazioni su Apple e/o Linux ed intendono abbandonare windows.
    Alcuni, i più giovani, hanno già fatto il cambio di maglia.

    Non conta niente osservare che in una scuola superiore si usi windows. Il declino di winzozz è un dato reale, solo le persone con la mentalità più conservativa (e svogliata), le stesse che sino all'ultimo hanno usato la cartapecora piuttosto che il PC, mostrano timore verso soluzioni differenti.

    Se microsoft non pesca dal cilindro un nuovo S.O., proponendo reali innovazioni e migliorie (possibilmente facendo tabula rasa di quello che è Windows ora), fra qualche anno le proporzioni di diffusione di win saranno ben diverse.
    Ubunto
    1350
  • Staremo comunque a vedere le proporzioni.
    Commenti simili, come ho già detto e stradetto le sento dal 2001 cca e comunque mi risulta che in molti campi MS è ancora al top.
    Open Source non ha ne presente ne futuro. Guadagna sulle disgrazie della gente, sul assistenza, sulla sicurezza... E comunque dettaglio che mi piace sottolineare, quel barbone che lo presente nelle università non ha soldi di comprare un paio di scarpeA bocca aperta. Se gli utenti esperti MS fossero conservativi come dici te come mai non sono rimmasti con VB 6? Io non dubito che microsoft possa essere sostituito, anzi ben venga, ma bisogna trovare un cocorente migliore o almeno pari, e per ora, temo proprio che non ci siano (anche se sicuramente contesterai).

    Ma poi siete voi quelli conservatori. A scuola vi hanno montato la testo con open source e linux, come facceva anche il mio insegnante di matematica un sacco di anni fa al università! Ma non sappete cosa vi perdete: non avete mai amministarto un windows server, non sapete sviluppare sotto .net, non conoscete i pro di t-sql, e siete fortemente convinti che windows è un maiale che ingrassa. In realtà Windows appena installato è più leggere di qualunque alto so e siete comunque convinti di conoscerlo perfettamente.
    non+autenticato
  • > In realtà Windows appena
    > installato è più leggere di qualunque alto so e
    > siete comunque convinti di conoscerlo
    > perfettamente.

    Peccato che nel giro di un mese diventa un maiale da 1000 KG.
    Windows lato server e' INUTILE.
    Quando hai bisogno di uptime di anni e ce ne sono di server che hanno bisogno di questi uptime, windows lo salti a piedi pari.
    Quando hai bisogno di scalabilià decenti, windows lo salti a piedi pari.
    Quando hai bisogno di un servizio windows lo salti a piedi pari.

    Insomma windows lo puoi saltare solo a piedi pari.
    non+autenticato
  • Facciamo le dovute distinzioni, stiamo parlando di SO Desktop o server?
    Lato server Microsoft non è un leader, ha la sua quota di mercato e ampliandola o riducendola di significativo non otterrà nulla di più nulla di meno.
    Perché? Perché non è proprio per nulla l'unico "attore" in quel campo. Di contro esistono alternative closed ed open seguite da aziende che investono eccome in sviluppo.

    Lato desktop Microsoft è stata sino a qualche anno fa l'unica soluzione credibile. Già oggi non lo è più.

    Da un lato la diffusione di iPhone ed iPad porterà chi li acquista, e non sto parlando dei fanboys ma delle persone qualsiasi, a rivolgersi ad Apple anche per il settore Desktop.
    Io non sono un sostenitore di Apple per le sue politiche chiuse e limitanti - a mio avviso anche più bloccate di Microsoft - ma dando uno sguardo al loro sistema operativo non si può negare che sia facile da usare, sia veloce e sia pure "bello". Bello in modo completamente "diverso" da quello che propone affannosamente Microsoft con i vari Aero.
    Il sistema Apple ha una grafica lineare, pulita, essenziale, luminosa.
    Quello che voglio dire è che il SO Apple funziona, e non ha nulla in meno di quello MS.
    L'unica lacuna è nei videogames, e non è una lacuna da poco. Ma sono già in atto diverse iniziative che muovono lo sviluppo (di giochi) verso i Mac. Più cresce la loro nuvola di utenti, più il processo esclusivo delle DirectX è destinato a scemare.

    Lato Open Ubuntu, sopratutto in virtù della collaborazione con Google già allo stato attuale è in grado di ricoprire tutte le attività svolte da windows. L'interazione con le industrie dell'hardware (ancora Google ci mette lo zampino) si sta facendo ben più proficua del passato.
    Ma sui SO open source sarà quello di Google la prossima "spina nel fianco" di windows. Dimentica l'idea del SO che funziona solo on-line, quello non è il punto di arrivo del progetto. E' un punto intermedio dedicato ai netbook. Anche Chromium OS, nella versione desktop, lavorerà off-line.
    Google non è un giocattolino, ma un colosso pienamente in grado di competere con Microsoft.

    Riguardo gli utenti conservatori, non mi sto riferendo ai power-users ma a quelli comuni. Quelli che inviare una e-mail è troppo complicato, meglio il fax. Quelli che hanno tenuto XP perché non capivano come funzionasse vista e per totale ed immonda pigrizia non avevano voglia di imparare altro.
    Quella però è una vecchia generazione di utenti, che sul PC ci sono arrivati quando erano già a metà vita biologica (e oltre) e pure di mala voglia.
    I nuovi utenti, i futuri clienti, non sono per nulla spaventati dal cambiamento. E non vedo come potrebbero dal momento che l'oggetto sbruliccicoso con le lucine lo puoi associare ad Apple oggi, e che anche le varie distro linux sono piuttosto semplici da usare e da installare.
    Il mito per cui Linux è difficile, è una immensa, gigantesca, colossale... cazzata. Ubuntu in particolare è un sistema quasi a prova di idiota e lo sarà ancora di più nelle prossime 2 releases (a quel punto sarà completo a mio parere).

    Io non sono affatto un utente linux conservativo, anzi... Sui PC "IBM compatibili" ho sempre lavorato sotto SO Microsoft, a partire da DOS, Win 3.1, 95/NT, 98, me/2000, xp. Con XP è finita l'avventura ma la tentazione c'era già da prima. Il principale mio timore era legato al rischio di perdere tempo e non poter fare le stesse cose che facevo con Windows.
    Con Ubuntu nessuna delle due cose s'è avverata, al contrario ho riscontrato un netto miglioramento delle prestazioni del mio PC ed in breve tempo ho recuperato tutto il parco software che utilizzavo prima.
    Al momento non consiglierei ad un utonto (di quelli veri ma che devono lavorare con gente che utonta non è) il passaggio, ma fra un anno indubbiamente sì.

    Windows, appena installato è adeguato, dire che è leggero è già un eccesso. Il problema sorge quando ci metti l'antivirus. Ho visto computer non nuovi dopo una formattazione funzionare bene con windows, e li ho visti letteralmente stramazzare dopo aver messo l'antivirus.
    Microsoft è incolpevole della presenza dei virus? In 20 anni non sono riusciti a fare un sistema sicuro! Per questo dicevo che farebbero meglio a cancellarlo e rifarlo da capo, seguendo un progetto serio e coerente.
    Lasciamo perdere poi l'uso SMODATO del disco rigido, a prescindere dall'antivirus, che su dispositivi non nuovissimi costituisce un pesantissimo collo di bottiglia e su sistemi nuovi contribuisce all'usura se non alla rottura dell'HD.
    Installare programmi? Ogni volta è una cabala, con le varie versioni del framework .NET hanno raggiunto l'apice dell'idiozia: alcuni programmi richiedono una versione, alcuni altri un altra.
    Un'altra cosa che vorrei capire è perché quando mi sposto per un interevento, se trovo un mac o un pc con SO linux apro il browser ed è tutto ok. Con un sistema windows apro il browser e trovo da 4 a 6 utilissime toolbars, iniziano ad apparire popoup che mi avvisano: "Hai un virus terrificante! Clicca qui ed inserisci la tua carta di credito per risolvere il problema!".
    Indubbiamente un ottimo sistema windows... sì sì.
    -----------------------------------------------------------
    Modificato dall' autore il 15 giugno 2010 01.23
    -----------------------------------------------------------
    Ubunto
    1350
  • - Scritto da: Mbdf

    > Open Source non ha ne presente ne futuro.

    Sicurosicuro'Occhiolino

    > Guadagna sulle disgrazie della gente, sul
    > assistenza, sulla sicurezza...

    Sull'ignoranza (non sanno che ci sono alternative), sulla mancanza di sicurezza (in quanti si guadagnano il pane togliendo virus, formattando e reinstallando?)... si parlava dei sistemi operativi di MS, vero? Imbarazzato

    > Se gli utenti
    > esperti MS fossero conservativi come dici te come
    > mai non sono rimmasti con VB 6?

    Una parte MOOLTO significativa di utenti (esperti e non) è rimasta con Windows XP: correva l'anno 2001.

    > Ma poi siete voi quelli conservatori. A scuola vi
    > hanno montato la testo con open source e linux,
    > come facceva anche il mio insegnante di
    > matematica un sacco di anni fa al università!

    Matematica non so, con l'italiano hanno fallito sicuramente, i tuoi insegnanti.

    > Ma
    > non sappete cosa vi perdete: non avete mai
    > amministarto un windows server, non sapete
    > sviluppare sotto .net, non conoscete i pro di
    > t-sql, e siete fortemente convinti che windows è
    > un maiale che ingrassa. In realtà Windows appena
    > installato è più leggere di qualunque alto so e
    > siete comunque convinti di conoscerlo
    > perfettamente.

    Oppure, almeno qualcuno di noi lo conosce... e tende a non ritenere molto professionale i tuttologi che passano dallo sviluppo all'amministrazione di sistema ai db... e poi no, windows (quale versione poi?) non è più leggero di qualunque altro sistema, neppure appena installato.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 23 discussioni)