JPEG al veleno per Internet Explorer

Microsoft ha corretto due falle di sicurezza, una delle quali giudicata molto pericolosa, che potrebbero consentire ad un aggressore di prendere il controllo di un PC vulnerabile. Microsoft Italia promuove il Mese della Sicurezza

Redmond (USA) - Una lunga lista di applicazioni di Microsoft, fra cui Internet Explorer e Office 2003, contengono una vulnerabilitÓ di sicurezza "critica" che potrebbe consentire ad un aggressore di prendere il completo controllo di un sistema.

La falla, corretta da Microsoft con il rilascio di 26 differenti versioni della stessa patch, consiste in un bug di tipo buffer overrun contenuto all'interno di un componente che elabora le immagini in formato JPEG: come accade in genere per vulnerabilitÓ di questo tipo, il rischio Ŕ che qualcuno trovi il modo di sfruttare la debolezza per eseguire del codice a propria scelta. Al momento gli esperti di sicurezza sostengono che non Ŕ stato avvistato in Rete nessun exploit, ma potrebbe solo essere questione di tempo.

Nel proprio bollettino di sicurezza MS04-028 Microsoft ha spiegato che "nel caso in cui l'utente Ŕ loggato nel sistema con i privilegi di amministratore, un aggressore che riesca a sfruttare con successo la vulnerabilitÓ potrebbe prendere il completo controllo del sistema vulnerabile, incluso installare programmi; visualizzare, modificare o cancellare dati; o creare nuovi account con pieni privilegi".
Per far leva sulla falla, un cracker potrebbe indurre l'utente a visitare una pagina Web o ad aprire una e-mail contenenti un'immagine JPEG (.jpg) creata in un certo modo.

Il big di Redmond ha raccomandato ai propri utenti di "aggiornare immediatamente" i propri PC.

Microsoft ha verificato la presenza della vulnerabilitÓ in Windows XP e Windows Server 2003 e in almeno una dozzina di applicazioni, tra cui Office XP e 2003, IE 6, Project 2002 e 2003, Visual Studio.NET 2002 e 2003 e Picture It! 9 e 2002. Fra i software non interessati dal problema ci sono IE 5.01 e 5.5, Windows XP con il Service Pack 2 e tutte le versioni di Windows precedenti a XP (a patto che non si utilizzi una delle applicazioni vulnerabili, come ad esempio Office XP sotto Windows 2000 o Windows XP SP2). Il componente fallato potrebbe trovarsi anche all'interno delle applicazioni di terze parti basate sul MS.NET Framework.

In aggiunta al problema con le immagini JPEG, Microsoft ha pubblicato un bollettino, l'MS04-027, che riguarda invece una vulnerabilitÓ di sicurezza nel "WordPerfect 5.x Converter", un componente utilizzato da alcune versioni di Office e Works per convertire il formato dei documenti Corel WordPerfect nel formato di MS Word.

Il bug, valutato da Microsoft come "important", potrebbe consentire ad un aggressore di eseguire del codice e prendere il controllo di un PC: per far questo, il cracker deve prima indurre la potenziale vittima ad aprire un documento WordPerfect malevolo.

Proprio in questi giorni Microsoft Italia sta promuovendo il "Mese della Sicurezza" attraverso una serie di iniziative volte ad analizzare gli impatti del fenomeno nel nostro Paese e a sensibilizzare e informare aziende e utenti. Ecco alcuni dati e cifre.
TAG: microsoft
70 Commenti alla Notizia JPEG al veleno per Internet Explorer
Ordina
  • Spero che qualcuno mi chiarisca.
    Ho Windows XP Home, e per aggiornarlo uso Windows Update in modalità manuale.
    Quando ho letto l'articolo ho lanciato Windows Update e gli ho fatto fare la ricerca degli aggiornamenti critici: ma l'unico che mi ha segnalato è il Service Pack 2 (che peraltro col cavolo che me lo scarico via modem analogico, 75 MB mi pare: comunque oggi è su CD con PcWorld). Delle patch di questo articolo niente.

    Ma che discorso è questo? Ciao
    non+autenticato
  • Puo' darsi che la patch localizzata in italiano non l'abbiano ancora messa su WU. Cmq nella notizia trovi il link al bollettino con tutte le patch da scaricare in manuale, inclusa la versione italiana.
    Ciau

    - Scritto da: Anonimo
    > Spero che qualcuno mi chiarisca.
    > Ho Windows XP Home, e per aggiornarlo uso
    > Windows Update in modalità manuale.
    > Quando ho letto l'articolo ho lanciato
    > Windows Update e gli ho fatto fare la
    > ricerca degli aggiornamenti critici: ma
    > l'unico che mi ha segnalato è il
    > Service Pack 2 (che peraltro col cavolo che
    > me lo scarico via modem analogico, 75 MB mi
    > pare: comunque oggi è su CD con
    > PcWorld). Delle patch di questo articolo
    > niente.
    >
    > Ma che discorso è questo? Ciao
    non+autenticato
  • - Scritto da: Anonimo
    > Puo' darsi che la patch localizzata in
    > italiano non l'abbiano ancora messa su WU.
    > Cmq nella notizia trovi il link al
    > bollettino con tutte le patch da scaricare
    > in manuale, inclusa la versione italiana.
    > Ciau

    Grazie. Avevo pensato al bollettino, ma allora che cavolo ci sta a fare WU? Ora lo riprovo. Graziu!
    non+autenticato

  • - Scritto da: Anonimo
    > Grazie. Avevo pensato al bollettino, ma
    > allora che cavolo ci sta a fare WU?

    ...domanda impertinente... per controllare le tue licenzeA bocca aperta

    Fan Apple
    non+autenticato
  • la microsoft che fa il mese della sicurezza
    ...un po' come dare il nobel per la pace a bin laden...
    non+autenticato

  • - Scritto da: Anonimo
    > la microsoft che fa il mese della sicurezza
    > ...un po' come dare il nobel per la pace a
    > bin laden...


    RUJPLASTRA bocca aperta
    non+autenticato
  • con privilegi di amministratore?
    :|

    Siccome, e già lo sapete, senza il bisogno di farmelo sottoscrivereCon la lingua fuori, sono incompetente, spiegatemi cos'è questa faccenda dell'utente loggato.

    Vuole dire che:
    se io fossi un mod di Punto Informatico loggato esiterebbe la possibilità che un utente malitenzionato potrebbe.. ...
    ma se sono un semplice utente loggato, non può !?!

    Non fatimi usare termini che non so procunciare In lacrime

    ==================================
    Modificato dall'autore il 16/09/2004 16.52.54
    non+autenticato
  • - Scritto da: nessuno53
    > con privilegi di amministratore?
    >Deluso
    >
    > Siccome, e già lo sapete senza il
    > bisogno di farmelo sottoscrigereCon la lingua fuori, non
    > sono una cima, spiegatemi cos'è
    > questa faccenda dell'utente loggato.
    >
    > Vuole dire che:
    > se io fossi un mod di Punto Informatico
    > loggato esiterebbe la possibilità
    > che un utente malitenzionato potrebbe.. ...
    > ma se sono un semplice utente loggato, non
    > può !?!

    Alt, alt, non c'entra niente PI e il suo loginSorride

    Qui si parla di utenti loggati nel proprio sistema operativo, nel caso xp.

    Forse non l'hai mai visto perchè hai un solo utente con il login automatico, ma se per caso crei un nuovo utente su xp, ti accorgerai che alla schermata inziale ti chiederà con quale utente accedere al sistema.

    Ora, su xp, come account esistono due tipi di utenti (oltre al guest): l'amministratore di sistema e l'utente con account limitato. Quest'ultimo non può compiere operazioni come installare certi programmi, file di sistema, etc etc.

    Però può essere anche un vantaggio, se ti crei un utente limitato con cui navigare renderai impossibile ad un virus cancellare files di sistema, per esempio.

    Ti ho dato un hint ma iI discorso è un pò lungo, e per il resto....

    http://hinlug.org/gfx/rtfm.gifOcchiolino
    non+autenticato

  • - Scritto da: Akaal
    > - Scritto da: nessuno53
    > > con privilegi di amministratore?
    > >Deluso
    > >
    > > Siccome, e già lo sapete senza il
    > > bisogno di farmelo sottoscrigereCon la lingua fuori, non
    > > sono una cima, spiegatemi cos'è
    > > questa faccenda dell'utente loggato.
    > >
    > > Vuole dire che:
    > > se io fossi un mod di Punto Informatico
    > > loggato esiterebbe la
    > possibilità
    > > che un utente malitenzionato potrebbe..
    > ...
    > > ma se sono un semplice utente loggato,
    > non
    > > può !?!
    >
    > Alt, alt, non c'entra niente PI e il suo
    > loginSorride
    >
    > Qui si parla di utenti loggati nel proprio
    > sistema operativo, nel caso xp.
    >
    > Forse non l'hai mai visto perchè hai
    > un solo utente con il login automatico, ma
    > se per caso crei un nuovo utente su xp, ti
    > accorgerai che alla schermata inziale ti
    > chiederà con quale utente accedere al
    > sistema.
    >
    > Ora, su xp, come account esistono due tipi
    > di utenti (oltre al guest): l'amministratore
    > di sistema e l'utente con account limitato.
    > Quest'ultimo non può compiere
    > operazioni come installare certi programmi,
    > file di sistema, etc etc.
    >
    > Però può essere anche un
    > vantaggio, se ti crei un utente limitato con
    > cui navigare renderai impossibile ad un
    > virus cancellare files di sistema, per
    > esempio.
    >
    > Ti ho dato un hint ma iI discorso è
    > un pò lungo, e per il resto....
    >
    > hinlug.org/gfx/rtfm.gif Occhiolino
    :$
    Grazie ho capito.
    Allora mi conviene andare a casa e aggiungere un utente al mio pc senza privilegi di sistema .
    :)
    non+autenticato

  • - Scritto da: nessuno53
    >
    ....
    > Grazie ho capito.
    > Allora mi conviene andare a casa e
    > aggiungere un utente al mio pc senza
    > privilegi di sistema .

    Già...


    Solo che però se non imposti anche le permission sulle directory di sistema utilizzare un utente non privilegiato serve a ben poco...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: nessuno53
    > >
    > ....
    > > Grazie ho capito.
    > > Allora mi conviene andare a casa e
    > > aggiungere un utente al mio pc senza
    > > privilegi di sistema .
    >
    > Già...
    >
    >
    > Solo che però se non imposti anche le
    > permission sulle directory di sistema
    > utilizzare un utente non privilegiato serve
    > a ben poco...


    Insomma come la metti la metti WIndows NON è per tutti e NON è "user friendly".
    Io lo sapevo già ( e non lo uso più...), altri continuano a negarlo......



    Fan Apple
    non+autenticato
  • Tranquilli, basta capire il concetto che ci si arriva: win ha le finestre della guida in italiano e l'aiuto on-line, e Voi dolcezze
    :p
    non+autenticato

  • - Scritto da: nessuno53
    > Tranquilli, basta capire il concetto che ci
    > si arriva: win ha le finestre della guida
    > in italiano e l'aiuto on-line, e Voi
    > dolcezze
    >Con la lingua fuori

    Quella bellissima guida che se per caso non ti funziona il mouse ti chiede di controllare il cavo, e se il cavo è a posto ti dice di contattare l'assistenza ?

    Come si potrebbe farne a meno ?
    non+autenticato
  • >
    > Solo che però se non imposti anche le
    > permission sulle directory di sistema
    > utilizzare un utente non privilegiato serve
    > a ben poco...

    falso, leggi qui:
    http://www.acs.nmu.edu/docs/Help/System/Windows/XP...
    non+autenticato
  • > Microsoft Italia promuove il Mese della Sicurezza

    Ah. Ed a quale azienda ne ha affidata la realizzazione?...

    Ciaoooo!
    non+autenticato

  • - Scritto da: Anonimo
    > > Microsoft Italia promuove il Mese della
    > Sicurezza
    >
    > Ah. Ed a quale azienda ne ha affidata la
    > realizzazione?...

    Forse intendono chiedere di tener spenti per un mese i PC ... l'unico modo per avere sicurezza in sistemi Windows
    non+autenticato
  • Ma service pack 2 la corregge sta falla delle jpeg o bisogna istallare un altro aggiornamento........
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)