Falla critica per WinServer 2003

Microsoft raccomanda di applicare quanto prima una patch che corregge una grave falla nella sicurezza di quasi tutte le versioni di Windows, incluso Server 2003. Corretti altri due bachi minori di Windows XP e ISA Server

Redmond (USA) - Microsoft ha rilasciato tre patch che correggono altrettanti problemi di sicurezza scoperti nella piattaforma Windows, fra cui una vulnerabilità "critica" che può consentire l'esecuzione di codice da remoto.

La vulnerabilità più grave, descritta nel bollettino di sicurezza MS03-026, interessa tutte le versioni attualmente supportate di Windows, tranne Windows Me, e rappresenta la prima falla di Windows Server 2003 classificata da Microsoft con il grado di rischio "critical".

Il bug consiste in un buffer overflow nell'implementazione di Windows del Remote Procedure Call (RPC), un protocollo standard che può essere utilizzato da un'applicazione per richiedere un servizio a un programma residente su un altro computer in rete. La falla riguarda quella parte dell'RPC che gestisce lo scambio di messaggi tramite TCP/IP.
"Il problema - ha spiegato Microsoft - è dovuto a modalità errate di gestione dei messaggi con formato non valido. Pertanto, un hacker potrebbe tentare di sfruttare questa vulnerabilità programmando un computer in grado di comunicare attraverso la porta TCP 135 con un server interessato dal problema, in modo da inviare un particolare tipo di messaggio RPC con formato errato. Alla ricezione di tale messaggio il servizio RPC del computer, affetto dalla vulnerabilità, potrebbe generare un errore tale da consentire l'esecuzione di codice non autorizzato. L'aggressore potrebbe essere capace di compiere qualsiasi azione sul sistema, incluso l'installazione di programmi, la visualizzazione, la modifica e la cancellazione dei dati, o la creazione di nuovi account con pieni privilegi".

Microsoft ha sottolineato come i sistemi con Windows XP o Windows Server 2003 installati all?interno di una rete privata dotata di un firewall, normalmente hanno la porta TCP 135 bloccata, non consentendo in questo modo la possibilità di accessi esterni non autorizzati sulla porta RPC.

La vulnerabilità, scoperta da un gruppo di hacker polacchi noti come Last Stage of Delirium, è stata definita dalla nota società di sicurezza Internet Security Systems "un'enorme minaccia". Il CERT, che ha dedicato al problema un avviso di sicurezza, sostiene che la falla è grave non solo perché interessa quasi tutte le versioni di Windows, incluso Windows Server 2003, ma soprattutto perché può essere sfruttata con relativa semplicità.

Microsoft ha raccomandato l?installazione della patch disponibile qui o attraverso il Windows Update.

Negli scorsi giorni Microsoft ha rilasciato anche altri due bollettini di sicurezza, l'MS03-027 e l'MS03-028, che descrivono rispettivamente una vulnerabilità di Windows XP e una di Internet Security and Acceleration (ISA) Server 2000 Server.

La prima, classificata come "important", consiste in un buffer non verificato presente in una funzione utilizzata da Windows XP per estrarre le informazioni relative agli attributi personalizzati di certe cartelle. Un aggressore potrebbe essere in grado di creare un file "desktop.ini" corrotto capace di mandare in crash la shell di Windows ed eseguire del codice sui sistemi di quegli utenti che aprono la cartella condivisa contenente il file "trappola".

La seconda falla, anch'essa classificata come "important", riguarda ISA Server 2000 e consiste in una vulnerabilità di tipo cross-site scripting contenuta all'interno di alcune pagine HTML che il server visualizza in risposta a certi errori. In alcuni casi un aggressore potrebbe indurre l'utente ad aprire una pagina HTML malevola attraverso cui sfruttare la falla ed eseguire codice a propria scelta.
TAG: microsoft
238 Commenti alla Notizia Falla critica per WinServer 2003
Ordina
  • Comunque non so quandi abbiamo problemi con i sistemi di autenticazione di win2000 tanto da dover trarre un grande beneficio dalle group policy e dalla distribuzione delle applicazioni.

    Sembrava una pubblicita' rivolta ai grossi asp.
    non+autenticato
  • > Comunque non so quandi abbiamo problemi con
    > i sistemi di autenticazione di win2000 tanto
    > da dover trarre un grande beneficio dalle
    > group policy e dalla distribuzione delle
    > applicazioni.

    Dipende dalla grandezza della tua rete... Se hai fino a 30/40 porstazioni ne fai anche a meno... Se poi oltre a a queste hai utenti remoti, la cosa inizia ad essere interessante.
    Cmq sono cose che, come probabilmente gia sai, puoi fare benissimo con Win2000.

    > Sembrava una pubblicita' rivolta ai grossi asp.

    Mmmhmm anche fosse io la vedo invece una battaglia sui grandi numeri tra IBM e MS nelle loro nuove aspettative e novità. Guarda caso ora son quasi scomparse entrambe le pubblicità.
    non+autenticato

  • - Scritto da: Anonimo
    > Comunque non so quandi abbiamo problemi con
    > i sistemi di autenticazione di win2000 tanto
    > da dover trarre un grande beneficio dalle
    > group policy e dalla distribuzione delle
    > applicazioni.
    >
    > Sembrava una pubblicita' rivolta ai grossi
    > asp.
    AsP? ci li ha mai visti? chiacchere a parte chi sono questi asp per adesso si (asp)etta godot!

    non+autenticato
  • ve la ricordate quella pubblicità così pacchiana ?

    zump,zump,zump,zump,
    hei ! risparmiamo 5 centesimi a transazione zump,zump,zump,zump,
    hei ! facciamo 1000 stransazioni al mese
    zump,zump,zump,zump,

    Se i risultati sono questi...
    non+autenticato

  • - Scritto da: Anonimo
    > ve la ricordate quella pubblicità così
    > pacchiana ?
    >
    > zump,zump,zump,zump,
    > hei ! risparmiamo 5 centesimi a transazione
    > zump,zump,zump,zump,
    > hei ! facciamo 1000 stransazioni al mese

    mi pare va fossero di più... comunque...
    zump zump zump
    A bocca aperta
    > zump,zump,zump,zump,
    >
    > Se i risultati sono questi...
    non+autenticato
  • hai ragione
    zump,zump,zump,zump,

    ma non mi ricordavo il numero esatto, ho sparato 1000 per dirne una
    zump,zump,zump,zump,

    ...ma tanto non se lo ricrdano nemmeno loro
    zump,zump,zump,zump,
    non+autenticato

  • - Scritto da: Anonimo
    > hai ragione
    > zump,zump,zump,zump,
    >
    > ma non mi ricordavo il numero esatto, ho
    > sparato 1000 per dirne una
    > zump,zump,zump,zump,
    >
    > ...ma tanto non se lo ricrdano nemmeno loro
    > zump,zump,zump,zump,
    si per non parlare dei 4 domini consolidati al posto di 100!
    zump zump zump zump A bocca aperta
    non+autenticato
  • > zump,zump,zump,zump,
    > hei ! risparmiamo 5 centesimi a transazione
    > zump,zump,zump,zump,
    > hei ! facciamo 1000 stransazioni al mese
    > zump,zump,zump,zump,
    >
    > Se i risultati sono questi...

    No dicevano 2x10^6 trasazioni al mese, e risparmiano ben 5 centesimi a transazione, chissa quanti "vaffanc" guadagnano dai clienti se rimangono fermi per un paio di giorni a re-installare tutto?
    non+autenticato
  • Come direbbe l'ingegner Cane di Mai dire Domenica!
    Gli sviluppatori Microsoft sono strapagati e i risultati si vedono!
    Un prodotto costoso in teoria dovrebbe esser quasi esente da bug o mi sbaglio?
    Quanti bug avrà Windows Xp 64 edition?
    E Windows Longhorn ?
    E ricordatevi 5 cents ogni 1000 bug!
    non+autenticato
  • Si altro che zump zump zump gli ingegneri
    di quella publicita ora prendono tanti di quei
    calci nel culo per aver sparato cazzate a iosa
    tipo "abbiamo consolidato 100 domini in solo 4"
    ao ma che stai a di.... che cazzo hai consolidato
    :)
    oppure facciamo 1milione di transazioni al giorno
    ma che dice sta fuori un milione di transazioni
    di che che transa lo cazzo che si freca.
    non+autenticato
  • Ho seguito dettagliatamente le istruzioni per l'installazione della patch e al riavvio mi compare una schermata blu e il sistema non va oltre.

    Anche la modalità provvisoria non parte più !

    E' vero, non sono un esperto, ma le istruzioni le ho seguite correttamente !

    PS: Ho winxp pro


    Paolo
    non+autenticato
  • attaccate ar cazzo coglione di merda
    non+autenticato
  • la contessa gradisce un ferrero roche'?
    non+autenticato
  • Hai controllato di avere installato la SP1 prima di installare la patch ?
    Anlan
    1327

  • - Scritto da: Anlan
    > Hai controllato di avere installato la SP1
    > prima di installare la patch ?
    e di aver chiusa la porta del frigorifero, spento la luce, fatto tre giri e tre inchini verso la mecca (redmond)?
    ma c'e' una procedura o si va a caso? e se si va a caso lui potrebbe non averla indovinata...
    una domanda sola ....

    è vero nessun sistema è esente da errori i crasch esistono e sempre esisteranno ma a parità di risultato (crash) perchè pagare se puoi ottenere lo stesso risultato (crash) gratis?

    In altri termini se ti fai pagare qualche responsabilità te la devi assumere!

    Linux (che crasha comunque molto meno) può anche "permettersi di farlo" Windoze NO!.. su tutti in coro (voi che avete speso) ARIDATECE LI SORDI NOSTRI!! A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anlan
    > > Hai controllato di avere installato la SP1
    > > prima di installare la patch ?
    > e di aver chiusa la porta del frigorifero,
    > spento la luce, fatto tre giri e tre inchini
    > verso la mecca (redmond)?
    > ma c'e' una procedura o si va a caso? e se
    > si va a caso lui potrebbe non averla
    > indovinata...
    > una domanda sola ....

    Personalmente ritengo che gli unici che vanno a caso sono quelli che non sanno un c..zo di computers. Poi... sulla pagina di descrizioni della patch c'è scritto (ma la gente tanto non legge quindi che ve lo dico a fare) che "prerequisito" per l'installazione su XP è essere aggiornati a SP1.
    Ho solo fatto una domanda e, invece di fare polemiche stupide, avresti potuto dare una mano.

    > è vero nessun sistema è esente da errori i
    > crasch esistono e sempre esisteranno ma a
    > parità di risultato (crash) perchè pagare se
    > puoi ottenere lo stesso risultato (crash)
    > gratis?

    Non esiste niente di *gratis*. Personalmente sono un sostenitore di Linux (anche se non lo uso) e a tale proposito vorrei dirti che :
    1) o consideri linux una tale kakata che non merita la benchè minima valorizzazione economica (per cui a ta basta il download gratis e poi ti arrangi)
    2) o, come tanti, sei un mangiamega a sbafo. Ma tu pensi davvero che Linux sia venuto su da una pianta ? Che le distros che ci sono in giro le abbia pacchettizzate qualche hobbista straricco che non sapendo che cakkio fare aveva del tempo da buttare ? Che il paziente lavoro di centinaia, migliaia di sviluppatori, non valga una cicca ?

    Mi aspetto già la ribattuta: "scaricati il kernel messo a disposizione gratuitamente da Torwalds e costruisciti sopra quello che vuoi." Rispondo.... mi costa meno pagare la licenza di Win. Tanto poi da tutte e due le parti (ripeto TUTTE E DUE LE PARTI) o studi e lavori con cognizione di causa o sei un utonto.

    > In altri termini se ti fai pagare qualche
    > responsabilità te la devi assumere!

    Infatti sulla KB è ben specificato cosa fare. Ovvio che se al primo "al lupo al lupo" tutti si precipitano a montare qualsiasi cosa senza sapere cosa fanno i disastri capitano. Da entrambe le parti.

    > Linux (che crasha comunque molto meno) può
    > anche "permettersi di farlo" Windoze NO!..
    > su tutti in coro (voi che avete speso)
    > ARIDATECE LI SORDI NOSTRI!! A bocca aperta

    No comment.
    Anlan
    1327

  • - Scritto da: Anlan
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anlan
    > > > Hai controllato di avere installato la
    > SP1
    > > > prima di installare la patch ?
    > > e di aver chiusa la porta del frigorifero,
    > > spento la luce, fatto tre giri e tre
    > inchini
    > > verso la mecca (redmond)?
    > > ma c'e' una procedura o si va a caso? e se
    > > si va a caso lui potrebbe non averla
    > > indovinata...
    > > una domanda sola ....
    >
    > Personalmente ritengo che gli unici che
    > vanno a caso sono quelli che non sanno un
    > c..zo di computers. Poi... sulla pagina di
    > descrizioni della patch c'è scritto (ma la
    > gente tanto non legge quindi che ve lo dico
    > a fare) che "prerequisito" per
    > l'installazione su XP è essere aggiornati a
    > SP1.
    > Ho solo fatto una domanda e, invece di fare
    > polemiche stupide, avresti potuto dare una
    > mano.

    Sbaglio o è M$ che parla di zero administration e TCO più basso?
    che gli utenti non debbano essere utonti sono io il primo a sostenerlo ma M$ non ha questo diritto ha sempre sostenuto nella pratica e nei fatti l'esatto contrario! (ovviamente pare che l'ironia ti sia sconosciuta).


    >
    > > è vero nessun sistema è esente da errori i
    > > crasch esistono e sempre esisteranno ma a
    > > parità di risultato (crash) perchè pagare
    > se
    > > puoi ottenere lo stesso risultato (crash)
    > > gratis?
    >
    > Non esiste niente di *gratis*. Personalmente
    > sono un sostenitore di Linux (anche se non
    > lo uso) e a tale proposito vorrei dirti che
    > :
    > 1) o consideri linux una tale kakata che non
    > merita la benchè minima valorizzazione
    > economica (per cui a ta basta il download
    > gratis e poi ti arrangi)
    > 2) o, come tanti, sei un mangiamega a sbafo.
    > Ma tu pensi davvero che Linux sia venuto su
    > da una pianta ? Che le distros che ci sono
    > in giro le abbia pacchettizzate qualche
    > hobbista straricco che non sapendo che
    > cakkio fare aveva del tempo da buttare ? Che
    > il paziente lavoro di centinaia, migliaia di
    > sviluppatori, non valga una cicca ?
    >
    > Mi aspetto già la ribattuta: "scaricati il
    > kernel messo a disposizione gratuitamente da
    > Torwalds e costruisciti sopra quello che
    > vuoi." Rispondo.... mi costa meno pagare la
    > licenza di Win. Tanto poi da tutte e due le
    > parti (ripeto TUTTE E DUE LE PARTI) o studi
    > e lavori con cognizione di causa o sei un
    > utonto.

    Era ironico anche questo amico mio !
    Linux è tutt'altro che gratis! devi imparare e sapere cosa è una macchina coso sono i servizi ed in più (coi sorgenti a disposizione) è una "grande sQuola" (ora però non mi dire che non si scrive con la q).
    Il punto è proprio questo se mi fai pagare devi garantirmi di più e assumerti le responsabilità che ne conseguono (altro che EULA) dove le responsabilità che si assume M$ riguardo il suo prodotto sono ZERO.
    Per quanto riguarda Linux forse ti dimentichi che hai versioni e distro (altro che kernel) che installi (prova ad es. Suse) in molto meno tempo di quello che occore per win*.

    >
    > > In altri termini se ti fai pagare qualche
    > > responsabilità te la devi assumere!
    >
    > Infatti sulla KB è ben specificato cosa
    > fare. Ovvio che se al primo "al lupo al
    > lupo" tutti si precipitano a montare
    > qualsiasi cosa senza sapere cosa fanno i
    > disastri capitano. Da entrambe le parti.

    Al primo? mi sa che ti sei perso qualche puntata!

    >
    > > Linux (che crasha comunque molto meno) può
    > > anche "permettersi di farlo" Windoze NO!..
    > > su tutti in coro (voi che avete speso)
    > > ARIDATECE LI SORDI NOSTRI!! A bocca aperta
    >
    > No comment.
    ecco bravo non commentare... e spendi che a redmond hanno fame e programmatori da mantenere (a tue spese).
    non+autenticato

  • - Scritto da: Anonimo

    > Sbaglio o è M$ che parla di zero
    > administration e TCO più basso?

    Adesso, guarda mi siedo, e voglio proprio sentire la tua spiegazione su "cosa kakkio c'entra questo".

    > Per quanto riguarda Linux forse ti
    > dimentichi che hai versioni e distro (altro
    > che kernel) che installi (prova ad es. Suse)
    > in molto meno tempo di quello che occore per
    > win*.

    Per quanto riguarda le distro leggi meglio e vedrai che le cito.
    Per il secondo punto ho fatto questo personalissimo test.
    Quindi prendilo con le debite molle.

    Macchina : HP Omnibook Xe3 P3 966 256Mb ram.
    Partenza con HD non formattato in entrambe le situazioni

    Installazione Windows XP Pro dal boot via CD alla fine di SP1 installato e office 2000 a bordo tempo totale 45 Minuti.
    (SP1 lo avevo su un server di rete non l'ho scaricato).

    Installazione Mandrake 9.1: scelta installazione solo postazione di lavoro (nessun server) + KDE. Installato OO (che avevo già scaricato su un server). Tempo installazione totale 1 ora circa.

    >
    > >
    > > > In altri termini se ti fai pagare
    > qualche
    > > > responsabilità te la devi assumere!
    > >
    > > Infatti sulla KB è ben specificato cosa
    > > fare. Ovvio che se al primo "al lupo al
    > > lupo" tutti si precipitano a montare
    > > qualsiasi cosa senza sapere cosa fanno i
    > > disastri capitano. Da entrambe le parti.
    >
    > Al primo? mi sa che ti sei perso qualche
    > puntata!

    Devo ridere ?

    > >
    > > > Linux (che crasha comunque molto meno)
    > può
    > > > anche "permettersi di farlo" Windoze
    > NO!..
    > > > su tutti in coro (voi che avete speso)
    > > > ARIDATECE LI SORDI NOSTRI!! A bocca aperta
    > >
    > > No comment.
    > ecco bravo non commentare... e spendi che a
    > redmond hanno fame e programmatori da
    > mantenere (a tue spese).

    Bella battuta... ho le lacrime agli occhi dalle risate.
    Anlan
    1327

  • - Scritto da: Anlan
    >
    > - Scritto da: Anonimo
    >    
    > > Sbaglio o è M$ che parla di zero
    > > administration e TCO più basso?
    >
    > Adesso, guarda mi siedo, e voglio proprio
    > sentire la tua spiegazione su "cosa kakkio
    > c'entra questo".
    >
    > > Per quanto riguarda Linux forse ti
    > > dimentichi che hai versioni e distro
    > (altro
    > > che kernel) che installi (prova ad es.
    > Suse)
    > > in molto meno tempo di quello che occore
    > per
    > > win*.
    >
    > Per quanto riguarda le distro leggi meglio e
    > vedrai che le cito.
    > Per il secondo punto ho fatto questo
    > personalissimo test.
    > Quindi prendilo con le debite molle.
    >
    > Macchina : HP Omnibook Xe3 P3 966 256Mb ram.
    > Partenza con HD non formattato in entrambe
    > le situazioni
    >
    > Installazione Windows XP Pro dal boot via CD
    > alla fine di SP1 installato e office 2000 a
    > bordo tempo totale 45 Minuti.
    > (SP1 lo avevo su un server di rete non l'ho
    > scaricato).
    >
    > Installazione Mandrake 9.1: scelta
    > installazione solo postazione di lavoro
    > (nessun server) + KDE. Installato OO (che
    > avevo già scaricato su un server). Tempo
    > installazione totale 1 ora circa.
    Molte molle! per quanto mi riguarda suse 8.1 lo installo su un laptop (server e firevall e patches automatiche scaricate dalla rete) in esattamente 32 minuti (dal dvd).
    ma in compenso lo posso tenere acceso direttamente su internet (e fargli anche fare da NAT , bilanciatore di traffico (due linee), firewall (stateful) e vpn terminator (IPSEC) e da gateway (HTTP to LDAP) oltre che da WEBMAIL e mailserver la domandina .. facile facile è quanto ti ci vuole a ottenere lo stesso con win*? e quanto spendi in prodotti?
    adieux!
    >
    > >
    > > >
    > > > > In altri termini se ti fai pagare
    > > qualche
    > > > > responsabilità te la devi assumere!
    > > >
    > > > Infatti sulla KB è ben specificato cosa
    > > > fare. Ovvio che se al primo "al lupo al
    > > > lupo" tutti si precipitano a montare
    > > > qualsiasi cosa senza sapere cosa fanno
    > i
    > > > disastri capitano. Da entrambe le
    > parti.
    > >
    > > Al primo? mi sa che ti sei perso qualche
    > > puntata!
    >
    > Devo ridere ?
    >
    > > >
    > > > > Linux (che crasha comunque molto
    > meno)
    > > può
    > > > > anche "permettersi di farlo" Windoze
    > > NO!..
    > > > > su tutti in coro (voi che avete
    > speso)
    > > > > ARIDATECE LI SORDI NOSTRI!! A bocca aperta
    > > >
    > > > No comment.
    > > ecco bravo non commentare... e spendi che
    > a
    > > redmond hanno fame e programmatori da
    > > mantenere (a tue spese).
    >
    > Bella battuta... ho le lacrime agli occhi
    > dalle risate.
    non+autenticato
  • ti

    Folks on AVSforums say they have successfully used tools from the Microsoft software development kit to rip and re-encode audio protected by Microsoft DRM in the WindowsMedia 9 format. This is only a rumor at this point -- I haven't seen the crack myself, but WM9 developers seem to be taking it as gospel.

    How did these criminal masterminds pull off this incredible feat? Did they crack an encryption key? Did they beat an MS employee with a rubber hose? Did they heat a CPU in a microwave oven? Was it a buffer overflow? An underflow? What was this remarkable feat?

    Incredibly, there was no exploit needed. These wily crackers merely had to write a program using well documented 100% aboveboard functions provided by Microsoft. It was not hard, involved no breakthroughs, did not depend on reverse engineering, and did not need a key. All they did was build the right DirectShow graph, and since DirectShow is a tool for third party software developers to build shipping software, ISVs can easily offer an all-in-one solution to strip DRM from content without fear of the DMCA.

    What this means is that the DRM on which both Microsoft and their many partners in the RIAA and MPAA are counting on is nothing but a sham. There is no DRM in MS DRM.



    http://www.oreillynet.com/pub/wlg/3517
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 28 discussioni)