Una falla rende vulnerabile Office

Fra i nuovi problemi di sicurezza corretti da Microsoft, il maggiore interessa Visual Basic for Applications, componente utilizzato da un certo numero di applicativi, fra cui quelli di Office

Redmond (USA) - Microsoft ha rilasciato cinque nuovi bollettini di sicurezza relativi ad alcune falle presenti nei propri software, fra cui una vulnerabilità classificata come "critical" che interessa alcune versioni della diffusissima suite per l'ufficio Office.

La falla, descritta nell'avviso di sicurezza MS03-037, riguarda il modo in cui Visual Basic for Applications (VBA) controlla le proprietà dei documenti quando questi gli vengono passati da un'applicazione (ad esempio Word). Il bug, di tipo buffer overrun, può essere sfruttato da un malintenzionato per eseguire codice a propria scelta con gli stessi privilegi dell'utente.

"Perché l'attacco vada a buon fine - si legge sul bollettino di Microsoft - un utente deve aprire un documento creato in un certo modo e inviatogli dall'aggressore. Questo documento può essere qualsiasi tipo di documento supportato da VBA, come ad esempio un file Word, Excel o PowerPoint. Nel caso in cui Word venga utilizzato come editor di Outlook per le e-mail HTML, questo documento potrebbe essere una e-mail: in questo caso, tuttavia, l'utente dovrebbe rispondere al messaggio, o inoltrarlo a terzi, per consentire all'aggressore di sfruttare la vulnerabilità".
Fra i software vulnerabili a questa falla vi sono le versioni dalla 5.0 alla 6.3 di Visual Basic for Applications SDK, le versioni 97, 2000 e 2002 di Office, le versioni 2000 e 2002 di Project e Visio, le versioni 2002, 2002 e 2003 di Works Suite e alcuni altri applicativi appartenenti alla famiglia Business Solutions.

Dal bollettino Microsoft è possibile scaricare manualmente le relative patch, tuttavia il big di Redmond suggerisce di visitare il sito Office Update capace di verificare e installare automaticamente gli aggiornamenti necessari (il servizio non supporta Office 97 e Visio 2000).

Microsoft ha rilasciato anche un fix che corregge una falla in Word 98, 2000 e 2002 e nella Works Suite 2001, 2002 e 2003, sfruttabile da un aggressore per scavalcare le funzionalità di sicurezza integrate nel programma ed eseguire delle macro senza il permesso dell'utente. La vulnerabilità, trattata nel bollettino MS03-035 e classificata come "important", può essere sfruttata da un aggressore per confezionare un documento che, una volta aperto, esegua in automatico una macro senza che l'utente ne abbia avviso.

Il pericolo di bug come questi, secondo gli esperti di sicurezza, è che aprano la strada ad una nuova ondata di macro-virus, una tipologia di codici virali molto diffusa fino a pochi anni fa.

Un'altra vulnerabilità classificata da Microsoft come "important" consiste in un buffer overrun nel componente che si occupa di convertire i formati di WordPerfect in quelli di Office. La falla, segnalata da Microsoft con l'avviso di sicurezza MS03-036 consiste in un buffer non verificato e può essere sfruttata da un aggressore per creare un documento WordPerfect creato in modo tale che quando viene aperto dal convertitore esegua del codice. Il problema interessa tutte le versioni attualmente supportate di Office, WorkSuite e alcune versioni di FrontPage e Publisher.

Il bollettino MS03-038 riguarda una falla considerata da Microsoft di rischio moderato che interessa l'Access Snapshot Viewer, un controllo ActiveX opzionale che permette di visualizzare file di database creati con Access 97, 2000 e 2002. Un buffer ovverrun contenuto nel codice del viewer potrebbe essere sfruttato da un aggressore per eseguire del codice a sua scelta attraverso una pagina Web malevola.

L'ultimo avviso, l'MS03-034, descrive una vulnerabilità a basso rischio che interessa la versione di NetBIOS integrata nelle versioni di Windows con kernel NT e che potrebbe essere sfruttata da un cracker per ottenere dati casuali della memoria del computer vulnerabile.
TAG: microsoft
70 Commenti alla Notizia Una falla rende vulnerabile Office
Ordina

  • http://uptime.netcraft.com/up/graph/?host=www.micr...

    ...e poi i winzozzari hanno il coraggio di parlare, è passato più di un mese dall'attacco DoS e fanno girare www.microsoft.com su server linux... tsè!
    non+autenticato
  • > ...e poi i winzozzari hanno il coraggio di
    > parlare, è passato più di un mese
    > dall'attacco DoS e fanno girare
    > www.microsoft.com su server linux... tsè!

    Sono i DNS che gestiti da Akamai girano su linux.. Ecco è più corretto..

    Per giustezza..
    http://news.netcraft.com/archives/2003/08/17/wwwmi...

    Ciò non toglie che per poter star sicuri dai DDoS si son dovuti appoggiare a chi usa linux..
    non+autenticato

  • - Scritto da: il_fabry

    > Ciò non toglie che per poter star sicuri dai
    > DDoS si son dovuti appoggiare a chi usa
    > linux..

    Si sono dovuti appoggiare a gente che mette in campo una *MAREA* di banda per cachare i contenuti. Ma si sa... certa gente legge anche nel fatto che oggi piove una vittoria del pinguino.
    non+autenticato
  • Akamai è uno dei più famosi fornitori di servizi di "DNS", e microsoft per questo si è fornita dei loro servigi. Quel che è vero è che usino linux. Quel che è vero che microsoft è corsa a questi ripari a causa dei dos che subiva. Non sarà una vittoria di linux, ma è un fatto obbiettivo che ms da sola non abbia saputo con i suoi strumenti salvarsi.
    non+autenticato

  • - Scritto da: il_fabry
    > > ...e poi i winzozzari hanno il coraggio di
    > > parlare, è passato più di un mese
    > > dall'attacco DoS e fanno girare
    > > www.microsoft.com su server linux... tsè!
    >
    > Sono i DNS che gestiti da Akamai girano su
    > linux.. Ecco è più corretto..
    >
    > Per giustezza..
    > http://news.netcraft.com/archives/2003/08/17/
    >
    > Ciò non toglie che per poter star sicuri dai
    > DDoS si son dovuti appoggiare a chi usa
    > linux..

    beh come si dice non far sapere all'utente come è buono linux con i server e il cacio con le pere...
    fabry ma pensi davvero che questi ammettino che hanno server linux? LORO che pubblicizzano : "hacker? windows 2003 server" Deluso

    APACHEMENTE ELWOOD
  • > beh come si dice non far sapere all'utente
    > come è buono linux con i server e il cacio
    > con le pere...

    LOL

    > fabry ma pensi davvero che questi ammettino
    > che hanno server linux? LORO che
    > pubblicizzano : "hacker? windows 2003
    > server" Deluso

    Non importa ammetterlo. Sono i fatti che parlano da soli. E intanto di spallata in spallata, anche SCO ha pagato la sua bella multa per le pretese che ha..

    > APACHEMENTE ELWOOD

    ROTFL..Occhiolino
    non+autenticato
  • Alla microsoft sanno come scrivere i programmi... LOL, neanche ad usare strutture dati con un controllo per il buffer overflow sono capaci. Complimenti! Openoffice utilizza librerie che fanno questi controlli, per la cronaca
    non+autenticato

  • - Scritto da: Anonimo
    > Alla microsoft sanno come scrivere i
    > programmi... LOL, neanche ad usare strutture
    > dati con un controllo per il buffer overflow
    > sono capaci. Complimenti! Openoffice
    > utilizza librerie che fanno questi
    > controlli, per la cronaca

    ...ma perchè non contate fino a 10 prima di parlare...! Dire che il produttore numero UNO al mondo di software non sa programmare è come dire che Jenna Jameson non sa scopare!
    non+autenticato
  • > ...ma perchè non contate fino a 10 prima di
    > parlare...! Dire che il produttore numero
    > UNO al mondo di software non sa programmare
    > è come dire che Jenna Jameson non sa
    > scopare!

    e' proprio questo il problema di molti utenti ms, si accontentano di una battona qualsiasi...
    non+autenticato
  • - Scritto da: Anonimo
    > > ...ma perchè non contate fino a 10 prima
    > di
    > > parlare...! Dire che il produttore numero
    > > UNO al mondo di software non sa
    > programmare
    > > è come dire che Jenna Jameson non sa
    > > scopare!
    >
    > e' proprio questo il problema di molti
    > utenti ms, si accontentano di una battona
    > qualsiasi...

    LOL A bocca aperta
    E si sa che quelle se hanno una specializzazione non è in falle.


  • > ...ma perchè non contate fino a 10 prima di
    > parlare...! Dire che il produttore numero
    > UNO al mondo di software non sa programmare
    > è come dire che Jenna Jameson non sa
    > scopare!

    Allora sarà un caso il buffer overflow. Mi spieghi come può essere che non hanno usato librerie che incapsulano array e stringhe con un controllo dei bordi?

    Cmq microsoft era il produttore numero uno anche ai tempi di windows 95.
    non+autenticato
  • Ciao

    Della serie ho poca esperienza di progetti e voglio cmq fare sapere al mondo intero che ci sono anch'io.

    Non pensare che i problemi sui buffer non riguardano Linux perchè usa una libreria figa che bla, bla, .....

    Se chi programma in quel momento pensa ad altro, fa il baco indipendentemente dal S.O. che usa.!

    non+autenticato

  • - Scritto da: Anonimo
    > Ciao
    >
    > Della serie ho poca esperienza di progetti e
    > voglio cmq fare sapere al mondo intero che
    > ci sono anch'io.
    >

    Della serie so che cos'è una libreria che chiude i buffer overflow.

    > Non pensare che i problemi sui buffer non
    > riguardano Linux perchè usa una libreria
    > figa che bla, bla, .....
    >

    Allora sei tu che spari tanto per far sapere che ci sei. Ho detto "openoffice" non linux. Su linux buffer overflow ce ne sono stati tanti. Il punto è che per un word processor quell'efficienza in più data dall'omettere il controllo dei bordi non serve. Com'è che tutti lo sanno tranne m$?

    > Se chi programma in quel momento pensa ad
    > altro, fa il baco indipendentemente dal S.O.
    > che usa.!
    >

    No, se il progettista gli impone di usare librerie affidabili. Questo per quel che riguarda problemi prevedibili come gli overflow. Non certo per tutti i problemi.
    non+autenticato

  • - Scritto da: Anonimo
    > Alla microsoft sanno come scrivere i
    > programmi... LOL, neanche ad usare strutture
    > dati con un controllo per il buffer overflow
    > sono capaci. Complimenti! Openoffice
    > utilizza librerie che fanno questi
    > controlli, per la cronaca

    Il problema è che quelle merde dells Micro$oft decidono prima la data in cui deve uscire il software (vedi il famigerato millenium) fottendosene de funziona o no. Tanto il beta testing (a pagamento) lo fanno gli utenti .
    non+autenticato
  • - Scritto da: Anonimo
    > Alla microsoft sanno come scrivere i
    > programmi... LOL, neanche ad usare strutture
    > dati con un controllo per il buffer overflow
    > sono capaci. Complimenti! Openoffice
    > utilizza librerie che fanno questi
    > controlli, per la cronaca

    Dubito che i vari applicativi siano scritti direttamente dagli ingegneri.
    Per intenderci non ho mai visto un architetto con cemento e cazzuola in mano...

    Zeross
    1303
  • > Dubito che i vari applicativi siano scritti
    > direttamente dagli ingegneri.
    > Per intenderci non ho mai visto un
    > architetto con cemento e cazzuola in mano...

    Beh tu no, ma io tanti e stimati professionisti rimboccarsi le maniche e mettersi in gioco per portare avanti con PROFESSIONALITA' un lavoro, si.
    non+autenticato

  • > Dubito che i vari applicativi siano scritti
    > direttamente dagli ingegneri.
    > Per intenderci non ho mai visto un
    > architetto con cemento e cazzuola in mano...
    >
    > Zeross

    Dubito che tu sappia cos'è un ingegnere del software (che è spesso un informatico e non un ingegnere, tanto per dirne una). E di solito costui decide quali librerie si utilizzano e quali componenti di altri progetti si riusano.

    non+autenticato

  • Il baco di fine settimanaSorride

    Ho deciso che da settimana prossima comincio a tenere il conto dei bachi settimanali di uindos... urka rischio di perderlo il conto !Sorride

    Mamma mia che tristezza, è mai possibile che dopo 20 anni non riescano ancora a fare software sicuri alla m$ ?
    Non è la software house più ricca del mondo ?
    Non hanno forse il monopolio del settore desktop/office ?
    E non riescono a fare software sicuri ?
    A voi le conclusioni....
    non+autenticato
  • Ma che ragionamento è, questo? Proprio da scuola materna! Buh.....
    non+autenticato
  • - Scritto da: Anonimo
    >
    > Il baco di fine settimanaSorride
    >
    > Ho deciso che da settimana prossima comincio
    > a tenere il conto dei bachi settimanali di
    > uindos... urka rischio di perderlo il conto
    > !Sorride
    >
    > Mamma mia che tristezza, è mai possibile che
    > dopo 20 anni non riescano ancora a fare
    > software sicuri alla m$ ?
    > Non è la software house più ricca del mondo ?
    > Non hanno forse il monopolio del settore
    > desktop/office ?
    > E non riescono a fare software sicuri ?
    > A voi le conclusioni....

    Ti sei risposto da solo, visto che hanno il monopolio vuol dire che l'hanno ottenuto per altra strada che non attraverso software sicuri ed è quello che gli interessa maggiormente, della sicurezza ne hanno fatto e ne fanno a meno e intendono per sicurezza più che usi e paghi quello che va bene a loro piuttosto che in modo sicuro quello che va bene a te, anche in questa accezione in sicurezza non si distinguono e forse è anche molto più difficile da ottenere dell'altra.
  • MS ha capito che al 95% non frega niente della
    ricurezza, cerca solo un SO facile da usare, si
    mette su il suo bell'antivirus e ci sguazza senza
    sapere cosa sono i sorgenti, le ddl, carburatore
    e frizione.

    - Scritto da: Anonimo
    >
    > Il baco di fine settimanaSorride
    >
    > Ho deciso che da settimana prossima comincio
    > a tenere il conto dei bachi settimanali di
    > uindos... urka rischio di perderlo il conto
    > !Sorride
    >
    > Mamma mia che tristezza, è mai possibile che
    > dopo 20 anni non riescano ancora a fare
    > software sicuri alla m$ ?
    > Non è la software house più ricca del mondo ?
    > Non hanno forse il monopolio del settore
    > desktop/office ?
    > E non riescono a fare software sicuri ?
    > A voi le conclusioni....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Il baco di fine settimanaSorride
    >
    > Ho deciso che da settimana prossima comincio
    > a tenere il conto dei bachi settimanali di
    > uindos... urka rischio di perderlo il conto
    > !Sorride


    Stai scoprendo l'acqua calda. C'e' gia' chi lo fa. Ad esempio bugtraq.

    > Mamma mia che tristezza, è mai possibile che
    > dopo 20 anni non riescano ancora a fare
    > software sicuri alla m$ ?
    > Non è la software house più ricca del mondo ?
    > Non hanno forse il monopolio del settore
    > desktop/office ?
    > E non riescono a fare software sicuri ?
    > A voi le conclusioni....

    Che secondo bugtraq nessuno, ma proprio nessuno, c'e' riuscito. Neppure gli illuminati anti-ms.
    non+autenticato
  • Ho provato 2 volte il windows update e per 2 volte mi ha incasinato Outlook Express. Adesso non lo faccio piu' e vivo a meta' tra terrore e speranza.
    Non potrebbero renderlo un po' piu' stabile il meccanismo di patch e update?
    E SOPRATUTTO:
    Non potrebbero renderlo distribuibile senza che io mi debba collegare al loro sito e scaricare 70MB di roba?

    U-tont
    non+autenticato
  • > Non potrebbero renderlo distribuibile senza
    > che io mi debba collegare al loro sito e
    > scaricare 70MB di roba?

    Basta sequire le istruzioni che nessuno legge.
    non+autenticato

  • - Scritto da: Anonimo
    > > Non potrebbero renderlo distribuibile
    > senza
    > > che io mi debba collegare al loro sito e
    > > scaricare 70MB di roba?
    >
    > Basta sequire le istruzioni che nessuno
    > legge.

    Che dicono di passare a debian dove gli update sono di poche centinaia di kbyte? LOL!
    non+autenticato

  • - Scritto da: Anonimo
    > > Non potrebbero renderlo distribuibile
    > senza
    > > che io mi debba collegare al loro sito e
    > > scaricare 70MB di roba?
    >
    > Basta sequire le istruzioni che nessuno
    > legge.

    Che dicono di passare a debian dove gli update sono di poche centinaia di kbyte? LOL!
    non+autenticato
  • - Scritto da: Anonimo
    > Ho provato 2 volte il windows update e per 2
    > volte mi ha incasinato Outlook Express.
    > Adesso non lo faccio piu' e vivo a meta' tra
    > terrore e speranza.
    > Non potrebbero renderlo un po' piu' stabile
    > il meccanismo di patch e update?
    > E SOPRATUTTO:
    > Non potrebbero renderlo distribuibile senza
    > che io mi debba collegare al loro sito e
    > scaricare 70MB di roba?
    >
    > U-tont


    Mai pensato di usare questo??

    http://www.microsoft.com/downloads/search.asp?Lang...


    Zeross
    1303
  • comprate..., comprate office 2003 cari winzozzoni, avete visto cosa vi aspetta ?

    hihihihihi , mi faccio già un sacco di risate...
    non+autenticato

  • - Scritto da: Anonimo
    > comprate..., comprate office 2003 cari
    > winzozzoni, avete visto cosa vi aspetta ?
    >
    > hihihihihi , mi faccio già un sacco di
    > risate...

    meglio che te ne stai zitto, tu che non avrai neanche un millesimo delle features che avremo noi con Office 2003!! ahahahahhahahah rosica rosica rosica rosica
    non+autenticato
  • > meglio che te ne stai zitto, tu che non
    > avrai neanche un millesimo delle features
    > che avremo noi con Office 2003!!

    Seriamente (se ti riesce): mi dici cosa è così indispensabile per un utente che non possa fare a meno di office 2003?
    non+autenticato

  • - Scritto da: il_fabry
    > > meglio che te ne stai zitto, tu che non
    > > avrai neanche un millesimo delle features
    > > che avremo noi con Office 2003!!
    >
    > Seriamente (se ti riesce): mi dici cosa è
    > così indispensabile per un utente che non
    > possa fare a meno di office 2003?

    francamente ho visto gente vivere tranquillamente con abiword...
    non+autenticato
  • > francamente ho visto gente vivere
    > tranquillamente con abiword...

    E io con la Lotus Smartsuite.. Alla versione 9.8 va decisamente bene, molti problemi son risolti..
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > comprate..., comprate office 2003 cari
    > > winzozzoni, avete visto cosa vi aspetta ?
    > >
    > > hihihihihi , mi faccio già un sacco di
    > > risate...
    >
    > meglio che te ne stai zitto, tu che non
    > avrai neanche un millesimo delle features
    > che avremo noi con Office 2003!!
    > ahahahahhahahah rosica rosica rosica rosica

    si, e insieme alle features avrai qualche centinaio di vulnerabilità gratuite

    ahahahahhahahah rosica rosica rosica rosica
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)