Outlook Express, occhio ai dirottamenti

Una vulnerabilità scoperta in Outlook Express potrebbe consentire ad un assalitore di intercettare la posta diretta ad una determinata persona. Colpa di un automatismo del software

Redmond (USA) - Un bug trovato in Outlook Express consentirebbe ad un assalitore di intercettare i messaggi spediti dall'utente del programma ad una terza persona.

La falla, che interessa tutte le versioni di Outlook Express (OE) a partire dalla 5.5 SP1, potrebbe dunque mettere a repentaglio la privacy degli utenti ma, per fortuna, sembra non compromettere la sicurezza del sistema.

Secondo quanto riportato dagli scopritori del bug, i russi della Security.NNOV, il problema riguarda un'opzione che in OE viene attivata di default: l'aggiunta automatica dei destinatari dei messaggi nella rubrica. Questa stessa funzione è quella che consente altresì il completamente automatico degli indirizzi: basta scrivere Mario e Outlook Express saprà che si tratta, ad esempio, di mario@pippo.com.
Manipolando il campo "From" e "Reply To:" della mail, e compilandolo ad esempio come dimostrato sul bollettino di sicurezza di Security.NNOV, è possibile per un assalitore dirottare verso una propria mailbox tutte le e-mail che il proprietario del sistema manda ad una determinata persona.

Per il momento non c'è ancora soluzione al problema e l'unico modo per non incorrere in eventuali attacchi del genere è quello di disabilitare l'aggiunta automatica dei destinatari in rubrica o controllare molto spesso che non vi compaiano "e-mail sconosciute".

Il bug è stato scoperto da Security.NNOV lo scorso dicembre. Ed è stato segnalato a Microsoft, secondo quanto affermato dagli esperti russi, lo scorso marzo.
TAG: microsoft
32 Commenti alla Notizia Outlook Express, occhio ai dirottamenti
Ordina
  • molti anzi tantissimi si lamentano , forse , con troppa leggerezza di outlook , ma poi , è così tremendo? e poi quale alternativa valida c'è , scusate la mia "ignoranza" , sà qualcuno illuminarmi su ciò . grazie anticipatamente
    non+autenticato
  • Al posto di rispondere singolarmente ad ognuno scrivo in questo mesaggio il *perchè* MS e Outlook sono *grami*. Premetto che uso sia outlook che netscape messenger, dal momento che uno fa cose che l'altro non ha e viceversa.

    Quanti di voi hanno la necessità di far girare in una email il Visual Basic Script?

    Quanti di voi hanno la necessità di NON VEDERE le estensioni dei file?

    Quanti di voi hanno la necessità di inserire AUTOMATICAMENTE una vcard nell'agenda?

    ...potrei continuare quasi all'infinito...

    Ecco: MS fa questa politica. Settare di default TUTTE quelle opzioni che NON SERVONO alla maggiorparte della gente e che oltretutto si rivelano essere boomerang incredibili (proprio a causa della loro automaticità).

    Quella di non vedere l'estensione dei file, per esempio, è il default dell'installazione di Windows. Ora, qualcuno mi spiega per quale morboso motivo l'utente non deve VEDERE LE ESTENSIONI? E sapete QUANTI windows sono installati con 'Installazione tipica', a furia di cliccate su "Avanti"? Io credo almeno l'80% dei sistemi esistenti. E così per tutti gli altri software. Allora la domanda è: Perchè MS, che non è l'ultima arrivata, si OSTINA a PROPINARE SETTAGGI di default che nella generalità dei casi sono FASTIDIOSI, INUTILI e PERICOLOSI? Semplice. Marketing. Far vedere che il software fa di tutto di più, anche il caffè. Anche se non ti serve. Lo scotto da pagare? Ovvio... lo conosciamo.

    Perchè disprezzo MS (sotto certi aspetti)? Perchè PUR sapendo di avere a che fare con UTONTI nella maggioranza dei casi si comporta come se si trovasse di fronte al'esatto contrario. Se non sei in grado di guidare un'auto perchè ti fornisco un'automobile ultraaccessoriata con 10.000 gadget attivati? Ovvio che alla prima curva ti schianti.
    non+autenticato


  • - Scritto da: HotEngine
    > Ecco: MS fa questa politica. Settare di
    > default TUTTE quelle opzioni che NON SERVONO
    > alla maggiorparte della gente e che
    > oltretutto si rivelano essere boomerang
    > incredibili (proprio a causa della loro
    > automaticità).

    Sono state fatte delle scelte. Opinabili o no c'è sempre la possibilità di settare la cosa. In più basterebbe che chi fornisce il sistema di posta elettronica fornisse un banale file di configurazione per settare tutti questi "fastidiosi" default.

    >
    > Quella di non vedere l'estensione dei file,
    > per esempio, è il default dell'installazione
    > di Windows. Ora, qualcuno mi spiega per
    > quale morboso motivo l'utente non deve
    > VEDERE LE ESTENSIONI?

    Per motivi di facilità d'uso. E' stato sbraitato da molti per anni (Apple in testa, che nasconde la signature, equivalente dell'estensione) che il desktop deve essere documento-centrico e non applicazione-centrico.

    Come utente io voglio aprire una lettera, non mi interessa sapere che si tratti di un .doc, .rtf, .txt. Mi basta che un'icona mi faccia capire che è una lettera. L'estensione non fa cvhe confondermi.

    > Far vedere che il software fa di
    > tutto di più, anche il caffè. Anche se non
    > ti serve. Lo scotto da pagare? Ovvio... lo
    > conosciamo.

    Ci sono una serie di convenzioni che sono proprie delle due più diffuse e migliori interfacce grafiche: Windows e Mac. Puoi non accettarle ma sono loro che fanno da guida, tu lo chiami marketing ma dietro ci sono profondi studi di usabilità ed ergonomia. Gridare contro la luna non ti aiuterà.
    non+autenticato
  • - Scritto da: Darth Vader

    > Come utente io voglio aprire una lettera,
    > non mi interessa sapere che si tratti di un
    > .doc, .rtf, .txt. Mi basta che un'icona mi
    > faccia capire che è una lettera.
    > L'estensione non fa cvhe confondermi.

    Vedi, tu stesso ammetti che l'UTONTO non sa e non vuole sapere. Chi fornisce quindi applicativi POTENZIALMENTE pericolosi è addirittura calssificabile ad un livello inferiore all'UTONTO che dovrebbe ammansire...

    > Ci sono una serie di convenzioni che sono
    > proprie delle due più diffuse e migliori
    > interfacce grafiche: Windows e Mac. Puoi non
    > accettarle ma sono loro che fanno da guida,
    > tu lo chiami marketing ma dietro ci sono
    > profondi studi di usabilità ed ergonomia.
    > Gridare contro la luna non ti aiuterà.

    Dei *profondi* studi di ergonomia me ne sba%%o. Sei liberissimo di credere a ciò, ma ricordati: business is business, altro che chiacchiere.
    non+autenticato


  • - Scritto da: HotEngine
    >
    > Dei *profondi* studi di ergonomia me ne
    > sba%%o. Sei liberissimo di credere a ciò, ma
    > ricordati: business is business, altro che
    > chiacchiere.

    Eh già. E MS non ne fa di business, vero? Non è che magari fa business proprio in virtù di un prodotto che ha alla base i profondi studi di cui tu ti sbatti?
    non+autenticato
  • - Scritto da: Darth Vader

    > Eh già. E MS non ne fa di business, vero?
    > Non è che magari fa business proprio in
    > virtù di un prodotto che ha alla base i
    > profondi studi di cui tu ti sbatti?

    Profondi studi? Uhauhau! Ti bevi proprio di tutto. Ti ho chiesto di rispondere alle domande che ho posto e tu come l'hai fatto? Non dicendomi se EFFETTIVAMENTE ti serve o no il vbs, o il vedere le estensioni.. NO! Mi hai risposto dicendo che *sono il risultato di profondi studi*. Un dogma insomma. Se hanno deciso così, ovvero, significa che DEVE ANDARE BENE! Uhauhauha! Ma ogni tanto ci provi a ragionare con la tua testa?
    non+autenticato


  • - Scritto da: Darth Vader

    > Sono state fatte delle scelte. Opinabili o
    > no c'è sempre la possibilità di settare la
    > cosa. In più basterebbe che chi fornisce il
    > sistema di posta elettronica fornisse un
    > banale file di configurazione per settare
    > tutti questi "fastidiosi" default.

    Se io compro una Ferrari, con quel che mi costa, se scopro che a 130km/h esplode, non gli metto un motore della 500 per farla andare piano, ma gliela ficco in....ehm gliela faccio mangiare a chi me l'ha venduta!

    Byz
    non+autenticato

  • Quel brav'uomo di Darth Vader disse..

    > Gridare contro la luna non ti aiuterà.

    cioè: sei schiavo e gli schiavi vanno trattati da schiavi.

    questa è la condizione di chi vuol essere tratato da essere umano: rinunciare.

    Poi ci si lamenta se la gente scopre il valore di Linux e dell'Open Source.

    non+autenticato
  • - Scritto da: zap
    > Poi ci si lamenta se la gente scopre il
    > valore di Linux e dell'Open Source.

    E chi potrebbe lamentarsi ?? La microsoft con il suo modo di fare si lamenta di linux e dell'Open Source...e non se ne capisce il motivo...temere un *concorrente* che ha in mano più o meno il 5% (forse meno)del mercato Desktop...mi sembra alquanto ridicolo.

    Tanto anche linux e l'OPen Source non saranno per molto tempo *gratis* in quanto l'odore dei soldi...fa cambiare la mentalità di lavoro a molte persone...ed i team di sviluppo open source sono persone come tutti...cambieranno anche loro...(ehy...non intendo l'anno prossimo...intendo fra magari 5-6 anni) .

    E poi scusate una cosa, ritorno alla discussione originale...perchè qualcuno dovrebbe aspettarsi una patch per risolvere un problema di così facile risoluzione, cavoli...vabbeh che siamo imbecilli in quangto non utenti linux, ma tanto...mi sembra + facile fare un click su segno di spunta che andare nel sito microsoft, trovare la patch adatta, scaricarla ed installarla...

    Voi pseudo-utenti linux avete stufato...vi atteggiate troppo...anche perchè...son ultra-sicuro che 3/4 di voi qui dentro non ha mai usato linux ma sbandiera conoscenze di questo SO solo per essere *trendy*; rendo onore a quelli che han deciso di abbandonare win in *onore* di linux..solo loro avrebbero parola in capitolo e non chi si tiene due partizioni con da una parte linux e dall'altra win...solo x far vedere all'amico che lui *usa* linux...

    salùt

    tutor®
    non+autenticato


  • - Scritto da: tutor®
    > - Scritto da: zap
    > > Poi ci si lamenta se la gente scopre il
    > > valore di Linux e dell'Open Source.
    >
    > E chi potrebbe lamentarsi ?? La microsoft
    > con il suo modo di fare si lamenta di linux
    > e dell'Open Source...e non se ne capisce il
    > motivo...temere un *concorrente* che ha in
    > mano più o meno il 5% (forse meno)del
    > mercato Desktop...mi sembra alquanto
    > ridicolo.
    >
    > Tanto anche linux e l'OPen Source non
    > saranno per molto tempo *gratis* in quanto
    > l'odore dei soldi...fa cambiare la mentalità
    > di lavoro a molte persone...ed i team di
    > sviluppo open source sono persone come
    > tutti...cambieranno anche loro...(ehy...non
    > intendo l'anno prossimo...intendo fra magari
    > 5-6 anni) .
    >
    > E poi scusate una cosa, ritorno alla
    > discussione originale...perchè qualcuno
    > dovrebbe aspettarsi una patch per risolvere
    > un problema di così facile risoluzione,
    > cavoli...vabbeh che siamo imbecilli in
    > quangto non utenti linux, ma tanto...mi
    > sembra + facile fare un click su segno di
    > spunta che andare nel sito microsoft,
    > trovare la patch adatta, scaricarla ed
    > installarla...
    >
    > Voi pseudo-utenti linux avete stufato...vi
    > atteggiate troppo...anche perchè...son
    > ultra-sicuro che 3/4 di voi qui dentro non
    > ha mai usato linux ma sbandiera conoscenze
    > di questo SO solo per essere *trendy*; rendo
    > onore a quelli che han deciso di abbandonare
    > win in *onore* di linux..solo loro avrebbero
    > parola in capitolo e non chi si tiene due
    > partizioni con da una parte linux e
    > dall'altra win...solo x far vedere all'amico
    > che lui *usa* linux...
    >
    > salùt
    >
    > tutor®
    La convivenza dei 2 SO per ora è inevitabile, visti gli sconquassi che ha creato Microsoft in 15 anni di sfruttamento dell' ignoranza degli UTONTI.
    Sarà una covivenza che prevedo duri ancora almeno 2 anni; poi si potrà optare per avere solo LINUX sul proprio pc.
    La Microsoft, ha ottimi motivi per temere LINUX; ad esempio un motivo è che è un So migliore e SICURO rispetto tutti i suoi.
    Quella statistica del 5% non tiene conto di quanti hanno installato LINUX successivamente in parallelo ai SO del DRAGASACCOCCE DI REDMOND.
    non+autenticato
  • > Tanto anche linux e l'OPen Source non
    > saranno per molto tempo *gratis* in quanto
    > l'odore dei soldi...fa cambiare la mentalità
    > di lavoro a molte persone...ed i team di
    > sviluppo open source sono persone come
    > tutti...cambieranno anche loro
    www.recupero-tossicodipendeti.org

    > Voi pseudo-utenti linux avete stufato...vi
    > atteggiate troppo...anche perchè...son
    > ultra-sicuro che 3/4 di voi qui dentro non
    > ha mai usato linux
    sei il migliore!

    non+autenticato
  • Ogni volta che si parla di sicurezza al grande
    pubblico (cioè ogni volta che un virus tipo
    Melissa, ILoveYou e, probabilmente, questo), mi
    stupisco che i media (anche e soprattutto quelli
    non specializzati) non rivelino il rimedio più
    semplice del mondo: abbandonare questa falla
    di sicurezza che è Outlook. Outlook è uno dei
    programmi di posta peggiori che ci siano in
    circolazione: ci sono decine di alternative,
    anche freeware, molto più performanti e
    sicuramente più sicure di Outlook. Ma per quale
    assurdo motivo milioni di persone si devono
    auto punire usando una simile schifezza? Usare
    Outlook, oggi, significa aprire la strada a
    decine di virus, worm e exploit. Perchè
    acquistare un antivirus (e spendere) quando si può
    abbattere il problema alla radice, evitando l'uso
    di un programma che, tra l'altro, è uno dei
    meno brillanti in termini di usabilità?
    non+autenticato
  • - Scritto da: Topoldo
    > Ma per quale assurdo motivo milioni di persone si devono
    > auto punire usando una simile schifezza?
    > Usare
    > Outlook, oggi, significa aprire la strada a
    > decine di virus, worm e exploit. Perchè
    > acquistare un antivirus (e spendere) quando
    > si può
    > abbattere il problema alla radice, evitando
    > l'uso
    > di un programma che, tra l'altro, è uno dei
    > meno brillanti in termini di usabilità?

    Semplicemente perche' ho provato alcuni degli altri software che dici e mi trovo comunque meglio con Outlook sia come usabilita' che comodita'. E' solo un fattore soggettivo.
    Ribadisco che non ho mai preso un virus.
    non+autenticato


  • - Scritto da: Alex

    > Semplicemente perche' ho provato alcuni
    > degli altri software che dici e mi trovo
    > comunque meglio con Outlook sia come
    > usabilita' che comodita'. E' solo un fattore
    > soggettivo.
    > Ribadisco che non ho mai preso un virus.


    E lo stupidissimo "Re: " che deve essere tale (come da RFC), invece autluk lo tramuta in "R: " incasinando i thread? Certo c'è la patch, ma nessuno la installa. E lo stupidissimo segno della signature che dovrebbe appunto cominciare con "-- " (notare lo spazio), invece autluk lo tramuta in "--" (senza spazio), quindi fottendosene delle specifiche pure qui, e con lo spiacevole effetto che la signature NON viene più colorata con un altro colore dal newsreader perchè non la riconosce (essendo fuori specifica), e quando rispondi a quel messaggio e il tuo newsreader NON taglia la signature perchè questa NON segue le specifiche e quindi la devi cancellare a meno (che palle)? Certo c'è la patch, ma quanti la installano?

    Questo SENZA contare i problemi di sicurezza.
    Questi NON sono bachi perchè è un software molto usato (quel discorso lascia il tempo che trova, credimi), ma sono bachi di chi NON segue le specifiche mentre "butta giù" del codice con i PIEDI.

    Per i newsgroup? Vorrei proprio vedere chi ha il coraggio di dire che OE è meglio di FreeAgent, sarebbe l'ennesima dimostrazione che non si sa usare il pc. Agent è 400 volte meglio, inutile negarlo.

    Per la posta? Gravity, Eudora, IMHO sono MOLTO meglio (che siano migliori è fuori dubbio).


    Dai Alex, please... non diciamo sciocchezze.
    non+autenticato
  • - Scritto da: z>
    >
    > E lo stupidissimo "Re: " che deve essere
    > tale (come da RFC), invece autluk lo tramuta
    > in "R: " incasinando i thread? Certo c'è la
    > patch, ma nessuno la installa. E lo
    > stupidissimo segno della signature che
    > dovrebbe appunto cominciare con "-- "
    > (notare lo spazio), invece autluk lo tramuta
    > in "--" (senza spazio), quindi fottendosene
    > delle specifiche pure qui, e con lo
    > spiacevole effetto che la signature NON
    > viene più colorata con un altro colore dal
    > newsreader perchè non la riconosce (essendo
    > fuori specifica), e quando rispondi a quel
    > messaggio e il tuo newsreader NON taglia la
    > signature perchè questa NON segue le
    > specifiche e quindi la devi cancellare a
    > meno (che palle)? Certo c'è la patch, ma
    > quanti la installano?

    Ma smettiamola con queste storie di altri tempi per favore. Qualsiasi versione recente di Outlook Express non presenta più questi bug.


    > Per i newsgroup? Vorrei proprio vedere chi
    > ha il coraggio di dire che OE è meglio di
    > FreeAgent, sarebbe l'ennesima dimostrazione
    > che non si sa usare il pc. Agent è 400 volte
    > meglio, inutile negarlo.
    >
    > Per la posta? Gravity, Eudora, IMHO sono
    > MOLTO meglio (che siano migliori è fuori
    > dubbio).

    Allora usali, ma senza dare dell'idiota a chi preferisce altro.


    Byee
    Zeross
    non+autenticato
  • - Scritto da: z>
    > Dai Alex, please... non diciamo sciocchezze.

    Senti, leggere posta e newsgroup e' per me 1% di cio che faccio con un computer, potremmo scendere a paragoni interessanti solo se ci mettessimo a confrontare le categorie di software 3D con cui lavoro per esempio e' meglio Houdini della Sidefx o Maya della AW. E' meglio Renderman o Mental Ray?

    Outlook va benissimo per quello che faccio. Mi permette di dare delle regole alla ricezione messaggi, mandare mail ai clienti con una certa impaginazione html. Non lo devo scaricare ed e' gia' bello che pronto.
    non+autenticato


  • - Scritto da: Topoldo
    Perchè acquistare un antivirus (e spendere)

    esitono antivirus freeware; e non credo che tutti abbian preso un antivirus solo x gli allegati delle mail...o te non hai mai *rischiato* di prendere virus anche tramite floppy passati da pc a pc o software scaricati da internet???

    non+autenticato
  • Inutile dire che l'opzione dell'aggiunta automatica nella rubrica è da eliminare anche senza il problema di sicurezza, è una di quelle opzioni imbecilli di OE, lasciandola attiva, in meno di sei mesi hai la rubrica piena di indirizzi di cui non sai assollutamente la provenienza!
    non+autenticato
  • Insomma... a marzo se n'è avuta comunicazione e nemmeno una patch.
    I casi sono 2:
    O è una bufala, e è difficilissimo che accada.
    O la M$, finchè non ne sa nulla non distribuisce alcuna path. D'altronde il GuardaFuori è "Free", nel senso che è gratis.....
    non+autenticato
  • - Scritto da: l <MCfc>
    > Insomma... a marzo se n'è avuta
    > comunicazione e nemmeno una patch.


    la soluzione è stata notificata..

    Workaround:

    Disable "Automatically put people I reply to in my address book" option.

    non è che sia una cosa fuori dal mondo eh...a tutto c'è na soluzione.
    non+autenticato


  • - Scritto da: Tutor®

    > non è che sia una cosa fuori dal mondo
    > eh...a tutto c'è na soluzione.


    Siccome la Ferrari che ho pagato 800 milioni è mal progettata e quando raggiunge i 110Km/h esplode, allora montagli un motore de 'na 500, cosi fa al massimo i 70km/h.
    non+autenticato


  • - Scritto da: z>
    >
    >
    > - Scritto da: Tutor®
    >
    > > non è che sia una cosa fuori dal mondo
    > > eh...a tutto c'è na soluzione.
    >
    >
    > Siccome la Ferrari che ho pagato 800 milioni
    > è mal progettata e quando raggiunge i
    > 110Km/h esplode, allora montagli un motore
    > de 'na 500, cosi fa al massimo i 70km/h.


    vedo che hai capito tutto, molti complimenti per chi abbia provveduto alla tua istruzione.
    ricorda un detto di henry Ford per rimanere nell'ambitop automobilistico da te iniziato...

    "se verrà creata la macchina perfetta sarà stato solamente uno sbaglio" .

    Di perfetto non c'è niente, tantomeno i software.

    tutor®
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)