DirectX, Microsoft sigilla una crepa

Microsoft risolve una grave vulnerabilità di sicurezza che interessa numerose versioni delle DirectX e può essere sfruttata da un cracker per eseguire del codice. Rilasciata anche una patch cumulativa per SQL Server

Redmond (USA) - Microsoft ha reso disponibili due patch di sicurezza che mettono fine ad altrettante vulnerabilità di Windows, fra cui una riguardante le DirectX, e una patch cumulativa per SQL Server.

La falla contenuta nelle DirectX, descritta nel bollettino di sicurezza MS03-030, interessa tutte le versioni di Windows in cui si trovi installata una versione delle librerie grafiche e multimediali compresa fra la 5.2 e la 9.0a. Il problema è stato classificato da Microsoft con il grado di rischio massimo, "critical", eccetto che in Windows Server 2003, dove la stima del rischio è scesa a "important".

La vulnerabilità consiste in due buffer ovverrun contenuti all'interno di un componente delle API DirectShow che gestisce la riproduzione dei file musicali MIDI (Musical Instrument Digital Interface). Un aggressore può essere in grado di sfruttare la debolezza inducendo un utente a cliccare su di un file MIDI creato in un certo modo che, una volta aperto, può consentire al cracker di eseguire sul sistema vulnerabile del codice a propria scelta con gli stessi privilegi dell'utente locale. Il file malevolo può essere incluso in una pagina Web o in una e-mail HTML.
Microsoft afferma di aver accertato la presenza del bug nelle DirectX 9.0a, DirectX 8.1, DirectX 7.0, DirectX 7.0a su Windows Millennium Edition, DirectX 6.1 su Windows 98 SE, DirectX 5.2 su Windows 98, Windows NT 4.0 con Windows Media Player 6.4 e Internet Explorer 6 Service Pack 1, Windows NT 4.0 Terminal Server Edition con Windows Media Player 6.4 e Internet Explorer 6 Service Pack 1.

Oltre alle singole patch, Microsoft ha rilasciato una nuova versione delle DirectX 9.0, la "b", che corregge il problema. Gli update possono essere scaricati seguendo i link contenuti nel bollettino di Microsoft o attraverso il Windows Update.

L'altra vulnerabilità, giudicata da Microsoft di rischio moderato, interessa Windows NT 4.0 Server e Terminal Server e può essere utilizzata da malintenzionati per lanciare attacchi di tipo denial of service. I dettagli del problema e i link alla patch sono contenuti nel bollettino MS03-029.

L'ultimo aggiornamento di sicurezza, trattato nell'advisory MS03-031, consiste di una patch cumulativa per SQL Server 7.0 e SQL Server 2000 che, oltre a contenere tutti i fix di sicurezza rilasciati fino ad oggi, corregge tre nuove falle classificate come "important".
TAG: microsoft
22 Commenti alla Notizia DirectX, Microsoft sigilla una crepa
Ordina
  • Ho appena finito di installare WinXP con service pack 1 già pre installato... sistema attivato alla MS, e corro subito a fare l'aggiornamento del sistema, e indovinate un po'???

    Escono ben 27 aggiornamenti consigliati (non ho selezionato nulla io) per un totale di 37 MB!!!

    ASSURDO!

    Sto riscaricando il 5% del mio sistema operativo!

    E se avessi avuto un 56k ? Mi sarei dovuto accontentare di un sistema insicuro ed instabile.

    Queste cose fanno veramente pensare... con 37 mb mi scarico l'ultimo kernel linux!!!

    Bha... W la microsoft
    non+autenticato

  • anche qualsiasi di stribuzione di Linux ha quanche decina di mb di aggiornamente.

    Certo, sono aggiornamenti di un sacco di programmi e non solo del sistema operativo....

    Insomma,alla fine uindos fa sempre cacare lo stessoSorride
  • su linux, dipende dalle distribuzioni, le path possono anche essere di poche kb se compili dai sorgenti, se hai gli rpm devi riscaricarli, ma comunque occupano sempre meno di 37 mb!
    non+autenticato

  • Ho installato la patch e adesso non mi parte più windows !

    Mi si blocka sulla schermata nera con scritto windows xp ecc. ecc.

    Non va neanche la modalità provvisoria !

    AIUTOOO !!!!
    non+autenticato

  • www.mandrake.com
    non+autenticato

  • Eh grazie !
    non+autenticato

  • Hopremuto invio troppo presto !

    Dicevo, eh grazie, sono capaci tutti !

    Anzi, io consiglio www.gentoo.org !Sorride
  • - Scritto da: MemoRemigi
    >
    > Hopremuto invio troppo presto !
    >
    > Dicevo, eh grazie, sono capaci tutti !
    >
    > Anzi, io consiglio www.gentoo.org !Sorride

    io consiglerei anche: www.apple.com ;-D
    non+autenticato
  • www.debian.org
    www.knoppix.org
    Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > www.debian.org
    > www.knoppix.org
    >   Fan Linux

    www.microsoft.com Fan Windows
    non+autenticato

  • - Scritto da: Anonimo

    > www.mandrake.com


    Che risposta da imbecille, non stupisce tu voglia restare anonimo.

    Burp
    non+autenticato
  • Fai una Prova, appena inizia ad esntrare in Windows, premi F8 ed invece che andare in "Safe Mode", mandalo in Debugging Mode, io un paio di volte lo ho usato, e sinceramente sembra funzionare questo sistema automatico di ricorstruzione dei File.
    Prova, anche se mi sembra strano che scaricando un UpDate ti si pianti il Computer, in tanti anni che sono cliente Windows non mi e` capitato nulla del genere, tranne una volta con Win98 che ho ben presto abbandonato.
    non+autenticato
  • - Scritto da: Anonimo
    > Fai una Prova, appena inizia ad esntrare in
    > Windows, premi F8 ed invece che andare in
    > "Safe Mode", mandalo in Debugging Mode, io
    > un paio di volte lo ho usato, e sinceramente
    > sembra funzionare questo sistema automatico
    > di ricorstruzione dei File.

    Tutto secondo una ferrea logica e una semplice procedura di ripristino del sistema quindi !Sorride

    > Prova, anche se mi sembra strano che
    > scaricando un UpDate ti si pianti il
    > Computer, in tanti anni che sono cliente
    > Windows non mi e` capitato nulla del genere,
    > tranne una volta con Win98 che ho ben presto
    > abbandonato.

    Da quello che sento in giro e che ho sperimentato negli anni il poveretto non è assolutamente il primo ne l'ultimo a cui gli si pianta tutto dopo un aggiornamento di windows.

    Il problema è che la microsoft vende software instabile con la speranza che i suoi milioni (ancora per poco) di utenti le facciano da betatester gratuitamente.

    Le cose stanno cambiando, sul lato server le aziende stanno passando a Linux o Solaris, sul lato client gli utonti non conoscono ancora il problema ma almeno cominciano a sentir parlare di linux.
    Gli utenti esperti invece si stanno allonmtanando da winows ad una velocità impressionante, utilizzando Linux o comprando macchine Apple con lo splendido MacOS X.

    La vedo sempre più grigia per microsoft, ma cosa ci vuoi fare, quando uno si fa una fama negativa è giusto che ne paghi le conseguenze.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Ho installato la patch e adesso non mi parte
    > più windows !
    >
    > Mi si blocka sulla schermata nera con
    > scritto windows xp ecc. ecc.
    >
    > Non va neanche la modalità provvisoria !
    >
    > AIUTOOO !!!!

    ma insomma... la schermata è blu o nera deciditi...

    oppure sei un Troller

  • ... la settimana non è ancora finita, aspettiamo ansiosamente la patch settimanale per uindos.

    COMPLIMENTI !!!
  • - Scritto da: MemoRemigi
    >
    > ... la settimana non è ancora finita,
    > aspettiamo ansiosamente la patch settimanale
    > per uindos.
    >
    > COMPLIMENTI !!!

    non solo! qualcuno disse anche, di patch da installare su uindos io non me ne ricordo.... A bocca aperta
    non+autenticato

  • - Scritto da: MemoRemigi
    >
    > ... la settimana non è ancora finita,
    > aspettiamo ansiosamente la patch settimanale
    > per uindos.
    >
    > COMPLIMENTI !!!

    se pubblicassero su PI tutti gli aggiornamenti del pinguino disponibili quotidianamente per una sola distro... l'home page sarebbe mooolto lunga...
    non+autenticato
  • > se pubblicassero su PI tutti gli
    > aggiornamenti del pinguino disponibili
    > quotidianamente per una sola distro...
    > l'home page sarebbe mooolto lunga...

    Questa fa ridere... se solo un Troll destinato ad un click perenne...
    non+autenticato
  • qua' mi hanno gia' cazziato a me' per questo errore ... speriamo che con uno scrittore di news di prima pagina siano un po' piu' clementi !!!

    ciao

  • - Scritto da: Goul_duKat
    > qua' mi hanno gia' cazziato a me' per questo
    > errore ... speriamo che con uno scrittore di
    > news di prima pagina siano un po' piu'
    > clementi !!!

    E per il bellissimo 'mi ... a me' non ti hanno ancora cazziato ? Sorride
    non+autenticato

  • - Scritto da: Anonimo
    > E per il bellissimo 'mi ... a me' non ti
    > hanno ancora cazziato ? Sorride

    depresso ...

    dai lasciami scrivere 3 cavolate alle 2 di notte in preda al caldo ed al sonno ... tanto si spera che i lettori siano ingrado di scernere i tread interessanti dagli altri ... e semmai correggere 2 errori grammaticali per comprendere cmq il discorso globale ...

    ciao
  • Guarda che si può dire in entrambi i modi, tanto è vero che se ti vai a leggere il bollettino di MS trovi proprio scritto "buffer overrun".
    Prima di scrivere informarsi, please Occhiolino

    - Scritto da: Goul_duKat
    > qua' mi hanno gia' cazziato a me' per questo
    > errore ... speriamo che con uno scrittore di
    > news di prima pagina siano un po' piu'
    > clementi !!!
    >
    > ciao
    non+autenticato