Alfonso Maruccia

Microsoft: quell'immagine Ŕ un malware

Redmond lancia l'allarme su una nuova falla zero day scoperta all'interno dei propri prodotti software, una vulnerabilitÓ potenzialmente pericolosa mitigata da una pezza temporanea. La vera patch dovrebbe arrivare presto

Microsoft: quell'immagine Ŕ un malwareRoma - Microsoft ha rilasciato il security advisor 2896666 su una falla zero day recentemente scoperta su sistemi Windows, un problema che potrebbe portare all'esecuzione di codice malevolo da remoto con tanto di aggiramento dei meccanismi di sicurezza avanzati (DEP, ASLR) presenti sulla piattaforma informatica più popolare.

La falla è stata individuata nel Microsoft Graphics Component incluso in Windows (tutte le versioni da XP a 7, sostiene McAfee, mentre Microsft restringe il campo), Office (2003, 2007, 2010) e Lync, e più precisamente all'interno del codice deputato alla visualizzazione delle immagini in formato TIFF: opportunamente camuffato all'interno di un file grafico infetto, il codice malevolo è in grado di dirottare le routine del software di Redmond per mandare in esecuzione le proprie routine - per di più con gli stessi privilegi di accesso dell'account utente attualmente connesso al sistema.

Microsoft evidenzia alcuni fattori esterni in grado di attenuare la pericolosità della nuova falla zero day: un utente connesso con privilegi di accesso limitati - al di sotto del classico livello di amministratore, insomma - potrebbe limitare i danni potenziali al sistema, così come farebbe la prudenza nell'accesso ai contenuti web sconosciuti da parte dell'utente.
Redmond dice di essere al lavoro per la realizzazione di una patch, ed è lecito aspettarsi un aggiornamento in tempo per il tradizionale Patch Tuesday di novembre in arrivo entro la prossima settimana.

In attesa di un update, Microsoft consiglia di mettere in atto una pezza temporanea per eliminare o ridurre il rischio al minimo: il security advisor 2896666 include un fix per disabilitare temporaneamente la funzionalità di rendering delle immagini TIFF. Sempre valido, infine, il consiglio di installare il tool Enhanced Mitigation Experience Toolkit per prevenire l'esecuzione di exploit sui sistemi vulnerabili.

Alfonso Maruccia
Notizie collegate
56 Commenti alla Notizia Microsoft: quell'immagine Ŕ un malware
Ordina
  • windows 7 sp1 e' immune, xp sp3 e' immune ecc, praticamente tutti i sistemi operativi microsoft con l'ultimo service pack installato non sono affetti dall'exploit. Tanto scalpore per un exploit che colpisce solo chi non aggiorna xp dal 2008? (anno di uscita del service pack 3)
    non+autenticato
  • - Scritto da: unaDuraLezione
    > ...che non ha capito come potrebbe colpire da
    > remoto?
    >
    > Il cracker di turno forgia una TIFF che gli
    > assicura l'exploit,
    > ok.
    > Ma come fa a farmela aprire con un software di
    > microsoft?
    > La mette su un sito che visito? Ok, Firefox,
    > Chrome e gli altri browser (ho detto browser)
    > DUBITO utilizzino le api di Windows per
    > renderizzare un'immagine (anzi, ho controllato,
    > non le supportano
    > proprio).
    >
    > Quindi, sperano che utilizzi IE? Sperano che
    > scarichi l'immagine e la apra non avendo alcun
    > visualizzatore di immagini associato (ho
    > irfanview che usa codice interno ed ovviamente
    > immune a questo bug per renderizzare)? Sperano
    > che scarichi un .doc da fonti dubbie e lo apra
    > con Office? Sperano che clicco come un forsennato
    > sull'allegato dell'ennesima e-mail di spam cone
    > scritto
    > 'hotsex.tiff'?
    >
    > O non ho capito un ca**o oppure magnano
    > tranquilli...
    Con te e me sicuramente, ma sai quanti diversamente furbi rispondono a TUTTI i requisiti?Occhiolino
    non+autenticato
  • +1
    A questo punto mi chiedo quante vulnerabilità *nix non hanno successo solo perché gli utente sono mediamente più preparati... che vuol dire avere imparato da piccolo a navigare su internet in un contesto di standard user e non rootA bocca aperta
    non+autenticato
  • - Scritto da: unaDuraLezione
    > ...che non ha capito come potrebbe colpire da
    > remoto?

    > Il cracker di turno forgia una TIFF che gli
    > assicura l'exploit, ok.
    > Ma come fa a farmela aprire con un software di
    > microsoft?
    > La mette su un sito che visito? Ok, Firefox,
    > Chrome e gli altri browser (ho detto browser)
    > DUBITO utilizzino le api di Windows per
    > renderizzare un'immagine (anzi, ho controllato,
    > non le supportano proprio).

    > Quindi, sperano che utilizzi IE? Sperano che
    > scarichi l'immagine e la apra non avendo alcun
    > visualizzatore di immagini associato (ho
    > irfanview che usa codice interno ed ovviamente
    > immune a questo bug per renderizzare)? Sperano
    > che scarichi un .doc da fonti dubbie e lo apra
    > con Office? Sperano che clicco come un forsennato
    > sull'allegato dell'ennesima e-mail di spam cone
    > scritto 'hotsex.tiff'?

    > O non ho capito un ca**o oppure magnano
    > tranquilli...

    Magnano tanquillissimi: perche' e' pieno di polli che usano solo IE, scaricano le immagini quando gli arrivano in mail, e tengono per giorni in firma frasi del tipo "o raga se vi arriva una foto dal un contatto sconosciuto che si chiama "amica tua.gif" non apritela che e' un trucco" per poi ricascari appena la tolgono Rotola dal ridere
    krane
    22544
  • Winsozz sarebbe una "piattaforma informatica" ?

    Beh Maruccia, in effetti hai ragione, anche io non saprei come definirlo...
    "Sistema operativo" è sicuramente esagerato, "colabrodo di codice buggato" è più adatto ma un po' irrispettoso, chiamiamolo pure "piattaforma informatica" Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Interessante notare che Windows 8 non è affetto.

    Saluti da P4
    non+autenticato
  • - Scritto da: P4___
    > Interessante notare che Windows 8 non è affetto.
    >
    > Saluti da P4

    Sai leggere? A quanto pare no.

    https://support.microsoft.com/kb/2896666

    Article ID: 2896666 - Last Review: November 5, 2013 - Revision: 2.1
    Applies to
    Windows Server 2008 Service Pack 2, when used with:
    Windows Server 2008 for Itanium-Based Systems
    Windows Server 2008 Datacenter
    Windows Server 2008 Enterprise
    Windows Server 2008 Standard
    Windows Web Server 2008
    Windows Vista Service Pack 2, when used with:
    Windows Vista Business
    Windows Vista Enterprise
    Windows Vista Home Basic
    Windows Vista Home Premium
    Windows Vista Starter
    Windows Vista Ultimate
    Windows Vista Enterprise 64-bit Edition
    Windows Vista Home Basic 64-bit Edition
    Windows Vista Home Premium 64-bit Edition
    Windows Vista Ultimate 64-bit Edition
    Windows Vista Business 64-bit Edition
    Microsoft Office 2003 Service Pack 3
    2007 Microsoft Office Suite Service Pack 3
    Microsoft Office 2010 Service Pack 1
    Microsoft Office 2010 Service Pack 2
    Microsoft Lync 2010
    Microsoft Lync 2010 Attendee
    Microsoft Lync 2013
    Microsoft Lync Basic 2013
    non+autenticato
  • http://technet.microsoft.com/en-us/security/adviso...
    "Non-Affected Software:
    Windows 8 for 32-bit Systems
    Windows 8 for x64-based Systems
    Windows 8.1 for 32-bit Systems
    Windows 8.1 for x64-based Systems
    Windows RT
    Windows RT 8.1
    "
    non+autenticato
  • Pure xp e 7 Oo
  • Avranno cambiato il compontente da win7 a win8
    non+autenticato
  • - Scritto da: Giorgio Maria Santini
    > Avranno cambiato il compontente da win7 a win8

    Peccato che sul sito di Microsoft o su quello di McAfee non ci sia menzione da nessuna parte del fatto che Windows 8 non sia affetto.
    non+autenticato
  • - Scritto da: Pugno sul grugno ora pro nobis
    > Peccato che sul sito di Microsoft o su quello di
    > McAfee non ci sia menzione da nessuna parte del
    > fatto che Windows 8 non sia
    > affetto.

    "Non-Affected Software:
    Windows 8 for 32-bit Systems
    Windows 8 for x64-based Systems
    Windows 8.1 for 32-bit Systems
    Windows 8.1 for x64-based Systems
    Windows RT
    Windows RT 8.1
    "
    non+autenticato
  • > "Non-Affected Software:
    > Windows 8 for 32-bit Systems
    > Windows 8 for x64-based Systems
    > Windows 8.1 for 32-bit Systems
    > Windows 8.1 for x64-based Systems
    > Windows RT
    > Windows RT 8.1
    > "

    Owned.
    non+autenticato
  • - Scritto da: nome e cognome
    > > "Non-Affected Software:
    > > Windows 8 for 32-bit Systems
    > > Windows 8 for x64-based Systems
    > > Windows 8.1 for 32-bit Systems
    > > Windows 8.1 for x64-based Systems
    > > Windows RT
    > > Windows RT 8.1
    > > "
    >
    > Owned.

    chi? uindovs? Rotola dal ridere
    non+autenticato
  • - Scritto da: nome e cognome
    > > "Non-Affected Software:
    > > Windows 8 for 32-bit Systems
    > > Windows 8 for x64-based Systems
    > > Windows 8.1 for 32-bit Systems
    > > Windows 8.1 for x64-based Systems
    > > Windows RT
    > > Windows RT 8.1
    > > "
    >
    > Owned.

    Owned una ceppa, se uno usa una versione di Office di quelle vulnerabili su Windows 8 è comunque vulnerabile.
    non+autenticato
  • - Scritto da: ...
    > Owned una ceppa, se uno usa una versione di
    > Office di quelle vulnerabili su Windows 8 è
    > comunque
    > vulnerabile.

    no
    non+autenticato