Spifferotto in Outlook 2003

Con un allegato confezionato in un certo modo un cracker potrebbe aggirare le impostazioni di sicurezza del client e-mail di Microsoft e lanciare file a sua scelta, come virus e cavalli di Troia

Roma - Outlook 2003 contiene una vulnerabilitÓ di sicurezza che potrebbe essere sfruttata da malintenzionati per eseguire sul computer di un utente file malevoli. A riportarlo Ŕ la societÓ Secunia che, in un advisory, ha classificato la falla di rischio medio.

Secunia ha spiegato che Ŕ possibile aggirare le impostazioni di sicurezza predefinite di Outlook 2003 inglobando in un documento RTF un oggetto OLE che punta a un file Windows Media. Tale documento, se allegato ad una e-mail HTML, una volta aperto potrebbe far leva su di una nota vulnerabilitÓ di Windows, descritta come "Predictable File Location Weakness", per scaricare attraverso Internet Explorer un qualsiasi file ed eseguirlo in automatico senza nessun preavviso.

La vulnerabilitÓ interessa tutte le edizioni di Outlook 2003, tuttavia gli esperti di sicurezza non escludono la possibilitÓ che questa possa celarsi anche all'interno di versioni precedenti.
In attesa che Microsoft rilasci una patch, Secunia suggerisce agli utenti di filtrare le e-mail con allegati HTML e RTF.
TAG: microsoft
17 Commenti alla Notizia Spifferotto in Outlook 2003
Ordina
  • Chi usa outlook *merita* i virus. Ci sono decine di alternative, altrettanto facili (se non di più) da usare, se volete usare outlook è colpa vostra.
    non+autenticato
  • se confezioni ad arte un allegato che in doc contiene un rtf che ha sua volta contiene un pdf che a sua volta ha un urlo che puntaa un docche contiene un pif che contiene un bat ......

    ecc...   e tutto cio lo apri solo il primo del mese con una mano sola mentre con l'altra palpeggi la segretaria, il pc ti viene colpito da un virus, ma a sto punto chi se ne frega.
    non+autenticato
  • Quanto sei ingenuotto....

    Beh, se il tuo interesse verso le problematiche della sicurezza informatica sono al livello espresso nel tuo post, torna a giocare con la "pleistescion" e lascia i PC ai professionisti (sebbene qui sul forum di PI se ne vedano pochi).
    non+autenticato

  • - Scritto da: Anonimo
    > Quanto sei ingenuotto....
    >

    io saro ingenuotto ma tu in quanto a dotazione di ram e cpu scarseggi.

    il post era ironico, quindi visto che su sto forum scarseggia sia i professionisti che quelli con QI > 2 espongo meglio il mio pensiero:

    prendi un qualunque sw lo sottoponi ad un test intensivo trovi migliaia di buchi.
    la questione del test e np completo un sw non potra mai essere perfetto quindi la sicurezza non potra mai essere totale

    by
    > Beh, se il tuo interesse verso le
    > problematiche della sicurezza informatica
    > sono al livello espresso nel tuo post, torna
    > a giocare con la "pleistescion" e lascia i
    > PC ai professionisti (sebbene qui sul forum
    > di PI se ne vedano pochi).
    non+autenticato
  • di.
    considerando che i prodotti M$ sono i piu usati testati e spulciati del mondo (ma scusa quale società di sicurezza testerebbe un sw per una vulnerabilita cervelotica come questa su un altro prodotto qualunque compreso lotuzzz)
    ergo sono i sw che ben paccati danno il miglior grado di sicurezza.

    Onestamente per lavorare preferisco un sw come outluccco sotto il fuoco di fila di tutti, ad uno sw sconosciuto le cui vulnerabilita non interessano a nessuno ma che in fondo ci sono e possono essere scoperte ed usate ad arte da chi vuol veramente far danno.

    infondo con outlucco pacchi e stai tranquillo con altri chi lo sa
    - Scritto da: Anonimo
    >
    >
    > Come da subjectCon la lingua fuori Con la lingua fuori Ficoso A bocca aperta
    non+autenticato
  • - Scritto da: Anonimo
    > considerando che i prodotti M$ sono i piu
    > usati testati e spulciati del mondo (ma
    > scusa quale società di sicurezza
    > testerebbe un sw per una vulnerabilita
    > cervelotica come questa su un altro prodotto
    > qualunque compreso lotuzzz)
    > ergo sono i sw che ben paccati danno il
    > miglior grado di sicurezza.

    Outlook ed i prodotti Microsoft sicuri? Lotus sconosciuto?

    Certo, certo. Ora prendi il tuo Prozac però Occhiolino


    ciao
  • eh si..poveri 100 milioni di utilizzatori di Lotus nel mondo.. condannati all'oblio.
    Altro che prozac.. ci vuole qualcosa di più Forte.
    :(
    non+autenticato

  • - Scritto da: Anonimo
    > eh si..poveri 100 milioni di utilizzatori di
    > Lotus nel mondo.. condannati all'oblio.
    > Altro che prozac.. ci vuole qualcosa di
    > più Forte.
    >Triste

    mai molte grandi societa passano da lotus a exchange (quindi outlook), saranno dei masochisti oppure ci sara dell'altro (visto che poi chi esegue queste migrazioni di informatica ne capisce e molto).

    by
    non+autenticato
  • questione di costi , non di sicurezza
    perdi il tuo tempo a patchare
    e patcha
    e patcha
    e patcha
    e patcha
    non+autenticato

  • - Scritto da: Anonimo
    > questione di costi , non di sicurezza
    > perdi il tuo tempo a patchare
    > e patcha
    > e patcha
    > e patcha
    > e patcha

    Beh già i costi sono una buona ragione, a volte... e comunque i prodotti di Lotus (noi usiamo Lotus Notes in modo intensivo) sono validissimi, sicuri per lo più (hanno dei bachi ma è inevitabile) e molto potenti. Difetti: pesantucci, non sempre semplici da usare e piuttosto "isolati" nel loro mondo, nel senso che per farli operare con altri programmi (Office, Oracle o anche SQL2K) abbiamo sempre dovuto smanettare molto... non molto pratici insomma al di fuori del loro terreno. Forse manchiamo di esperienza noi nel campo ma la sensazione è che siano un po' chiusi.
    non+autenticato
  • Beh già i costi sono una buona ragione, a volte... e comunque i prodotti di Lotus (noi usiamo Lotus Notes in modo intensivo) sono validissimi, sicuri per lo più (hanno dei bachi ma è inevitabile) e molto potenti. Difetti: pesantucci, non sempre semplici da usare e piuttosto "isolati" nel loro mondo, nel senso che per farli operare con altri programmi (Office, Oracle o anche SQL2K) abbiamo sempre dovuto smanettare molto... non molto pratici insomma al di fuori del loro terreno. Forse manchiamo di esperienza noi nel campo ma la sensazione è che siano un po' chiusi.

    SI E VERO MANCATE DI ESPIRIENZA
    PER FARE ANCHE LE COSE COMPLESE BASTANO
    POCE RIGHE DI CODICE
    ps sviluppo per domino



    non+autenticato
  • >eh si..poveri 100 milioni di utilizzatori di Lotus nel mondo.

    100 moltiplicato per 4
    non+autenticato
  • ciao a tutti
    mi scuso in anticipo perchè mi sa che sono un po off.

    da poco l'azienda dove lavoro è passata a Lotus notes.

    mi sono accorto che quando apro le email se è stata richiesta una conferma di lettura/apertura questa viene inviata in automatico senza richiedere la conferma.

    Esiste un modo per poterla gestire così come con outlook?
    E' un esigenza più che motivata, perchè tra le mie varie attività lavorative una parte è dedicata all'assistenza e spesso questa ricevuta di ritorno viene "impugnata" come affermazione del ritardo nell'erogare un servizio ....

    Grazie a che mi darà una mano!
    Fabrizio
    non+autenticato
  • è più facile che l'hacker controlli il pc rispetto all'amministratore
    non+autenticato
  • Quale amministratore?Occhiolino
    non+autenticato
  • - Scritto da: Anonimo
    > Quale amministratore?Occhiolino

    Quello di condominioSorride
    Si vede che il thread sul p2p ha attirato le attenzioni di tutti, in altre occasioni qui ci sarebbero stati centinaia di post pro e contro microsoft a quest'ora

    ==================================
    Modificato dall'autore il 19/05/2004 1.40.09
    non+autenticato