Word condivide il baco di Mozilla

Il recente problema che ha interessato i software della Mozilla Foundation affligge anche due popolari applicazioni di Microsoft. Si infiamma il dibattito sulla sicurezza

Roma - La stessa vulnerabilità che è stata di recente corretta nei browser di Mozilla.org, relativa all'URI (Universal Resource Identifier) "shell:" di Windows, è contenuta anche all'interno di due diffusi software Microsoft. A dirlo è Secunia, che in un advisory ha spiegato di aver verificato l'esistenza del problema in Word 2002 e MSN Messenger 6.x.

Secondo quanto scoperto dall'esperto di sicurezza Jesse Ruderman, i due software Microsoft mancano di restringere l'accesso alla funzionalità "shell:", la stessa che sotto Windows consente ad un'applicazione di lanciare un programma esterno associato ad una determinata estensione (doc, txt, ecc.).

Un malintenzionato potrebbe far leva su questa feature per inserire all'interno di un documento o di un messaggio istantaneo un link che, una volta cliccato, esegue automaticamente un programma presente sul PC dell'utente. Come nel caso di Mozilla, però, la debolezza è di per sé poco pericolosa: l'aggressore, infatti, può soltanto lanciare applicazioni associate ad una data estensione senza poter passare loro alcun parametro. Il rischio potrebbe invece essere legato, secondo Secunia, all'uso della funzione "shell:" in congiunzione con altre vulnerabilità.
La società di sicurezza ha suggerito agli utenti di non seguire link dall'origine sconosciuta contenuti all'interno di documenti di Word o messaggi di MSN Messenger.

Nel circolo degli esperti di sicurezza si è acceso in questi giorni il dibattito se questa vada considerata vulnerabilità delle applicazioni o, piuttosto, una debolezza di Windows. Secondo l'opinione di Larry Seltzer, security center editor di eWeek, è compito dell'applicazione restringere l'uso della funzionalità "shell:": "Sono le applicazioni - ha detto Tigner - che inviano al sistema operativo un'istruzione per eseguire un programma". Resta il fatto, risponde Secunia, che già in passato quella funzione si è rivelata più volte pericolosa e, a suo dire, "andrebbe seriamente rivista o limitata".

Negli scorsi giorni Secunia ha pubblicato alcuni advisory riguardanti altri prodotti di Microsoft, fra cui Office e la Java Virtual Machine (JVM). Il primo problema, descritto qui, riguarda la possibile esecuzione di codice malevolo quando si utilizza Word per modificare delle mail in Outlook o dei documenti HTML. Il secondo problema, esposto qui, riguarda invece una vulnerabilità di tipo cross-site communication presente nella JVM di Microsoft, potenzialmente utilizzabile per far comunicare fra loro applet Java di differenti domini.
TAG: microsoft
31 Commenti alla Notizia Word condivide il baco di Mozilla
Ordina
  • Quando e' uscito il bug di mozilla mi son detto: ma la colpa non e' solo di mozilla, ma anche di windows..

    E come volevasi dimostrare...

    Meno male che a casa ho linux!
    non+autenticato
  • Bravo. La vulnerabilità che affliggeva Mozilla è dovuta ad una scelta architetturale degli sviluppatori Windows, che hanno introdotto il protocollo shell: in Xp e Me (mi pare questi due). Mozilla per i protocolli non supportati internamente (come anche per i formati file non gestiti internamente) si affida alle impostazioni di sistema e 'passa la palla'. Questa procedura ha un senso, perchè permette al browser di adattarsi all'ambiente in cui gira, e di poter rispondere a eventuali nuovi protocolli senza bisogno che gli sviluppatori debbano intervenire appositamente.
    Facciamo un esempio: il software di voip skype ha introdotto i link di tipo callto: per segnalare all'interno di pagine web un host verso cui si può effettuare una chiamata. Se l'utente installa questo programma, viene creata nel sistema un'associazione che fà sì che ogni volta che viene incontrato un link di quel tipo sia avviato skype. Mozilla supporta questo tipo di interazione automaticamente, fidandosi delle associazioni di sistema, e senza il bisogno che i suoi sviluppatori debbano aggiungere del codice apposito per questo protocollo.
    Tutto bene quindi, non fosse che MS con le citate release di windows ha introdotto un protocollo (shell:) che inerentemente insicuro.
    Visti i fatti a questo punto dalle parti di Mozilla stanno meditando di cambiare approccio, abilitando esplicitamente con una whitelist i protocolli considerati non a rischio.
    That's so

    Antonio Memo
    http://persone.softwarelibero.org/person/baluba
    non+autenticato

  • - Scritto da: Anonimo
    > Quando e' uscito il bug di mozilla mi son
    > detto: ma la colpa non e' solo di mozilla,
    > ma anche di windows..
    >
    > E come volevasi dimostrare...
    >
    > Meno male che a casa ho linux!

    Anch'io ho detto la stessa cosa tempo fa, sul sito www.hackergiornal.com (come utente), dove sono gente esperta ho detto la medesima cosa, anzi ho previsto che lo stesso buco sarebbe servita in altri programmi.

    ziomaul
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Quando e' uscito il bug di mozilla mi
    > son
    > > detto: ma la colpa non e' solo di
    > mozilla,
    > > ma anche di windows..
    > >
    > > E come volevasi dimostrare...
    > >
    > > Meno male che a casa ho linux!
    >
    > Anch'io ho detto la stessa cosa tempo fa,
    > sul sito www.hackergiornal.com (come
    > utente), dove sono gente esperta ho detto la
    > medesima cosa, anzi ho previsto che lo
    > stesso buco sarebbe servita in altri
    > programmi.
    >
    > ziomaul

    scusate era :
    http://hackerminds.altervista.org/phpBB2/viewtopic...
    non "www.hackergiornal.com"

    ciao
    non+autenticato
  • ... quanto ci metterà M$ a patchare?
    sono degli incredibili incompetenti, l'unico aspetto positivo è che queste vicende tragicomiche esaltano la bontà del lavoro opensource a scapito dell'ormai anacronistico closedsource. il modello di sviluppo vincente è sotto gli occhi di tutti.

    Fan Linux Knoppix3.4 user

    P.S. troll di turno, vi aspetto numerosi....A bocca aperta
    non+autenticato
  • > P.S. troll di turno, vi aspetto numerosi....
    >A bocca aperta

    Intanto che li aspettiamo: sono d'accordo su tutta la linea.A bocca aperta
    non+autenticato
  • basti già tu ... Troll
    non+autenticato

  • - Scritto da: Anonimo
    > basti già tu ... Troll

    sarà, ma intanto il cronometro sta scandendo le ore e della patch per word non c'è traccia, mentre quella per Mozilla è già stata fornita
    non+autenticato
  • > sarà, ma intanto il cronometro sta
    > scandendo le ore e della patch per word non
    > c'è traccia, mentre quella per
    > Mozilla è già stata fornita
    Forse è perchè alla Micro$oft sono contro l'accnimento terapeutico... sanno che per winofficexploder non ci sono pezze che tengano...
    Oppure sono occupati a risparmiare 5 cent al minuto, qualunque cosa voglia dire...
    Oppure sono ormai talmente abituati a parlare in markettese che a furia di technobubble e buzzwords non si capiscono più nemmeno tra di loro... tràstuorting!!!
    non+autenticato
  • Mozilla, un giorno per patchare un bug (non loro)
    Windows, un bug al giornoOcchiolino
    No, sono stato troppo buono...
    Occhiolino
    non+autenticato

  • - Scritto da: Anonimo
    l'unico
    > aspetto positivo è che queste vicende
    > tragicomiche esaltano la bontà del
    > lavoro opensource a scapito dell'ormai
    > anacronistico closedsource.
    In realta' si limita a dimostrare solo che chi ha il monopolio di qualcosa puo' altamente fregarsene delle reali necessita' del mercato, tanto comperano lo stesso.

    Per il resto "non so cosa ti fumi, ma pare roba buona" (c)
    non+autenticato
  • sicuramente quello che ti fumi tu è scaduto!!!!A bocca aperta

    non lamentiamoci poi di ricevere virus in quantità industriali, vi ricordo che quasi sempre sfruttano falle di window$
    non+autenticato

  • - Scritto da: Anonimo
    > ... quanto ci metterà M$ a patchare?
    > sono degli incredibili incompetenti, l'unico
    > aspetto positivo è che queste vicende
    > tragicomiche esaltano la bontà del
    > lavoro opensource a scapito dell'ormai
    > anacronistico closedsource. il modello di
    > sviluppo vincente è sotto gli occhi
    > di tutti.

    Forse quelli di Mozilla.org dovrebbero cominciare a sviluppare un browser che sia utilizzabile per navigare invece che far vedere quanto sono veloci a riparare le falle di questo figlio di Netscape (..Io ho partecipato personalmente al funerale del papà...).

    Io navigo sotto linux con Mozilla, Konqueror e Gnomexplorer (o come cazzo si chiama)... Ne andasse bene uno. Sono talmente pieni di difetti da far innervosire anche un santo... Quando ogni tanto non si fanno una crashatina per riposare...

    ..Se questo è il modello del futuro cambia la banda ma la musica è sempre quella...
    non+autenticato
  • torna a divertirti con il tuo peggioramento di mosaic (il che è tutto dire)
    non+autenticato
  • onestà vorrebbe che almeno oggi avessi la decenza di tacere...

    se lo facessi ogni giorno che viene scoperto un baco ms il forum di PI (e non solo) ne gioverebbe
    non+autenticato
  • E' stato scoperto un baco di Mozilla: il giorno dopo patch di 1kB che risolveva all'istante il problema

    Internet Explorer: almeno 10 bug al giorno, e la m$ (dopo chissà quanto) fa una patch non testata rilasciata con l'avvertimento "potrebbe causare + problemi della falla che corregge", oppure dice che risolverà la falla con l'SP2, così per qualche mese gli utenti sono vulnerabili ma a bill sai che gliene sbatte, per di più una patch da 200 e passa mega in quanti la scaricheranno? Terrorista
    non+autenticato

  • - Scritto da: Anonimo
    > E' stato scoperto un baco di Mozilla: il
    > giorno dopo patch di 1kB che risolveva
    > all'istante il problema
    >
    > Internet Explorer: almeno 10 bug al giorno,
    > e la m$ (dopo chissà quanto) fa una
    > patch non testata rilasciata con
    > l'avvertimento "potrebbe causare + problemi
    > della falla che corregge", oppure dice che
    > risolverà la falla con l'SP2,
    > così per qualche mese gli utenti sono
    > vulnerabili ma a bill sai che gliene sbatte,
    > per di più una patch da 200 e passa
    > mega in quanti la scaricheranno? Terrorista


    Sii serio, che bisogno ha Bilghèiz di migliorare i suoi prodotti se comunque il mondo è popolato da pesci rossi che abboccano a qualunqe menata?

    Basta riempirsi la bocca con il "Trustworth Computing".....la concorrenza può lanciare il miglior Mac OS di sempre o la migliore distro Linux del pianeta e entrambi possono essere vent'anni avanti al più evoluto degli Windows...e lui comunque continuerebbe a vendere la sua fuffa bacata. Figurati ora che i concorrenti sono "solo" 10 anni avanti....;)



    Fan Linux Fan Apple
    non+autenticato
  • hai dimenticato il seamless computingFicoso
    non+autenticato
  • - Scritto da: Anonimo
    > hai dimenticato il seamless computingFicoso

    http://www.elfqrin.com/buzzwgen.html

    non+autenticato
  • - Scritto da: Anonimo
    > www.elfqrin.com/buzzwgen.html

    e

    http://www.outofservice.com/buzzword/
    non+autenticato

  • - Scritto da: Anonimo
    > hai dimenticato il seamless computingFicoso

    No! Come sottolineato l'altro giorno ad un briefing dall'associate corporate analyst dell'azienda dove lavoro, il seamless computing si limita a reinventare programmi di prossima generazione per l'e-commerce cross-media. Il Thrustwoty Computing, invece, permette di abilitare processi di e-business al top della tecnologia, facilitando prospetti innovativi scalari nelle sinergie B2C.

    Qui c'è un'intera pagina dedicata al soggetto:

    http://www.phibbi.com/extra/gswe.php



    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > hai dimenticato il seamless computingFicoso
    >
    > No! Come sottolineato l'altro giorno ad un
    > briefing dall'associate corporate analyst
    > dell'azienda dove lavoro, il seamless
    > computing si limita a reinventare programmi
    > di prossima generazione per l'e-commerce
    > cross-media. Il Thrustwoty Computing,
    > invece, permette di abilitare processi di
    > e-business al top della tecnologia,
    > facilitando prospetti innovativi scalari
    > nelle sinergie B2C.
    >
    > Qui c'è un'intera pagina dedicata al
    > soggetto:
    >
    > www.phibbi.com/extra/gswe.php
    >


    Ti sei almeno chiesto se avevi o meno capito di cosa si parlava?SorrideSorrideSorride

    BUZZWORDS!!!!!!!!
    non+autenticato

  • - Scritto da: Anonimo
    > >
    > > www.phibbi.com/extra/gswe.php
    > >
    > Ti sei almeno chiesto se avevi o meno capito
    > di cosa si parlava?SorrideSorrideSorride
    >
    > BUZZWORDS!!!!!!!!

    Ma si domanda? Sorride Certo che l'avevo capito. L'intervento l'ho preparato completamente con il generatore di stroxxate di quella pagina... Sono confidente che ti sia piaciuto l'approccio feature-rich del sito.
    non+autenticato
  • ... i problemi sono sempre di Windows Troll
    non+autenticato


  • - Scritto da: Anonimo
    > ... i problemi sono sempre di Windows Troll


    no...sono SOLO di WindowsSorride
    non+autenticato

  • - Scritto da: Anonimo
    > ... i problemi sono sempre di Windows Troll

    Di Windows? Windows non ha nessun problema, figurati... sai che gliene frega di bachi, falle, vulnerabilità, buchissimi del gnappero spalancati al primo, secondo, ed eventualmente anche terzo o quarto che passa eccetera...
    Casomai i problemi sono di quelli che lo usano.
    non+autenticato