Falla di Outlook. Attesa per la patch

Tutte le più recenti edizioni di Outlook contengono una vulnerabilità che mette a rischio la privacy e la sicurezza degli utenti

Redmond (USA) - Come sostengono alcuni esperti di sicurezza, la tecnologia ActiveX di Microsoft fin dal momento della sua introduzione è stata fonte di una lunga serie di problemi di sicurezza, soprattutto quando associata ad Outlook, il celebre sistemone di gestione messaging di Microsoft.

Ed è proprio il client di posta elettronica Microsoft ad essere nuovamente vittima di una falla di sicurezza in un controllo ActiveX, il Microsoft Outlook View Control. Una falla che a quanto pare potrebbe in certe condizioni consentire ad un assalitore di prendere pieno possesso di un sistema remoto.

A differenza di quanto inizialmente annunciato dallo scopritore della falla, l'ormai celebre cacciatore di bug Georgi Guninski, la vulnerabilità interessa, oltre ad Outlook 2002, anche le versioni '98 e 2000.
Secondo quanto riportato nell'avviso di sicurezza pubblicato da Microsoft, l'Outlook View Control normalmente dovrebbe permettere all'utente di visualizzare le proprie cartelle di posta elettronica o il calendario di Outlook via Web. In realtà, attraverso la semplice visualizzazione di una pagina Web o l'apertura di un e-mail HTML contenenti uno script malizioso, il controllo ActiveX si trasforma in una pericolosa porta d'accesso al sistema, permettendo la modifica o la cancellazione dei dati di Outlook (mail, calendario, account) o il lancio, attraverso il programma di posta, di un codice distruttivo.

Ancora una volta, Outlook è vittima di quelle funzionalità e di quegli automatismi che dovrebbero rendere più facile la vita agli utenti. Come per molte vulnerabilità precedenti, anche qui l'utente potrebbe involontariamente eseguire uno script malizioso semplicemente visualizzando l'anteprima di una e-mail, senza dunque la necessità di lanciare un allegato.

"E' estremamente facile - sostiene Guninski - trovare la vulnerabilità. Io l'ho scoperta dopo poco tempo che avevo installato Office XP. E se anche Outlook 98 ne è affetto, come Microsoft ha affermato nel proprio avviso, questo significa che sta qui da anni".

Come è noto, fra l'esperto di sicurezza bulgaro e il colosso di Redmond non corre buon sangue, ed anche questa volta Microsoft si è parecchio irritata dopo che Guninski ha pubblicato i dettagli della falla di sicurezza, con il relativo exploit, prima che l'azienda potesse rilasciare una patch. Al big di Redmond non sarà piaciuto neppure il titolo che l'irriverente Guninski ha dato al suo bollettino di sicurezza: "MS Office XP: più soldi do a Microsoft, più il mio computer Windows è vulnerabile".
TAG: sicurezza
30 Commenti alla Notizia Falla di Outlook. Attesa per la patch
Ordina
  • fresca fresca da bugtraq

    Task Manager in Windows 2000 refuses to kill any process named
    - winlogon.exe
    - csrss.exe
    - smss.exe
    - services.exe
    showing a message box stating that this is a critical system process and
    cannot be ended by task manager.

    Although these processes were and are still protected by their ACL (Access
    Control List) Microsoft is now using case-insensitive string comparison to
    determine whether a process belongs to the operating system.

    You can now call you favorite trojan winlogon.exe and task manager will not
    only refuse to terminate it but will also incorrectly state that it is a
    critical system process.

    Regards
    Tom


    che design di merda.....
    non+autenticato
  • Compratevi un Mac...... Oppure usate Linux.....
    non+autenticato
  • - Scritto da: Bill Gates
    > Compratevi un Mac...... Oppure usate
    > Linux.....

    si possono fare anche tutti e due contemporaneamenteSorride
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: Bill Gates
    > > Compratevi un Mac...... Oppure usate
    > > Linux.....
    >
    > si possono fare anche tutti e due
    > contemporaneamenteSorride
    Questo è verissimo!!! solo ke non tutti hanno soldi da spendere o tempo x installare linux(io finalmente ce l'ho avuto e finalmente non c'è piu nessuna traccia di M$ nel mio PC, solo SuSE Linux 7.1 Sorride,basterebbe un po di accortezza,tipo cambiare reader di posta(c'è Eudora x esempio),Se windows fa schifo non è detto che lo facciano i prg scritti x lui.
    Byez
    non+autenticato
  • E' vero: Staroffice 5.2 è perfetto. Non ha nessun tipo di problema, alcun difetto e funziona egregiamente. E poi...vuoi mettere? E gratis.
    Unica cosa che se non hai 160 mb di ram fai prima a farti un caffè che aspettare che si apra il menù a tendina della suite monolite della sun...I difettucci cocchi belli ce l'hanno tutti!!!!
    non+autenticato
  • - Scritto da: LoveTux
    > E' vero: Staroffice 5.2 è perfetto. Non ha
    > nessun tipo di problema, alcun difetto e
    > funziona egregiamente. E poi...vuoi mettere?
    > E gratis.
    > Unica cosa che se non hai 160 mb di ram fai
    > prima a farti un caffè che aspettare che si
    > apra il menù a tendina della suite monolite
    > della sun...I difettucci cocchi belli ce
    > l'hanno tutti!!!!

    ho un acer travelmate 313t, Pentium 233 MMX con 48 mega di ram.
    uso kde 2.1 e staroffice 5.2
    e non vado di certo a prendermi il caffe', dato che quel portatile ha il leggero svantaggio di avere una autonomia molto bassa. (quando va bene un'ora e mezza, contro un tempo di ricarica di 4 ore)

    forse alla acer si sono sbagliati e me ne hanno messi 256 ? eh... no. il bios dice proprio 48...
    non+autenticato
  • Quello che puoi fare con Office XP, Staroffice se lo sogna, smarttags compresi.

    - Scritto da: LoveTux
    > E' vero: Staroffice 5.2 è perfetto. Non ha
    > nessun tipo di problema, alcun difetto e
    > funziona egregiamente. E poi...vuoi mettere?
    > E gratis.
    > Unica cosa che se non hai 160 mb di ram fai
    > prima a farti un caffè che aspettare che si
    > apra il menù a tendina della suite monolite
    > della sun...I difettucci cocchi belli ce
    > l'hanno tutti!!!!
    non+autenticato


  • - Scritto da: JP
    > Quello che puoi fare con Office XP,
    > Staroffice se lo sogna, smarttags compresi.
    >

    Per fortuna ... sia ringraziato il cielo!!!!


    Vedrai che anche i "SmartTags" avranno la loro buona dose di "falle" !!!!
    non+autenticato


  • - Scritto da: JP
    > Quello che puoi fare con Office XP,
    > Staroffice se lo sogna, smarttags compresi.

    + 1 per staroffice
    non+autenticato
  • Una volta, tanti anni fa, il programma per leggere la posta faceva una cosa: ti faceva leggere la posta.

    Poi qualche esperto di marketing ha deciso che sarebbe stato piu' bello metterci i disegnini, le iconcine, gli automatismi, i messaggi colorati, i formati di testo, il supporto per l'utente a cui leggere la posta non interessa per niente e quindi non lo sa fare, ecc... ecc...

    e adesso? "Scrivi l'automatismo che ti formatto l'HD!"
    Bravi! Continuate cosi'!

    Creare la domanda per poi soddisfarla. William Gates III
    non+autenticato
  • - Scritto da: Nic
    > Una volta, tanti anni fa, il programma per
    > leggere la posta faceva una cosa: ti faceva
    > leggere la posta.

    Vero, anche a me piacerebbe tornare indietro a quei tempi...

    > Poi qualche esperto di marketing ha deciso
    > che sarebbe stato piu' bello metterci i
    > disegnini, le iconcine, gli automatismi, i
    > messaggi colorati, i formati di testo, il
    > supporto per l'utente a cui leggere la posta
    > non interessa per niente e quindi non lo sa
    > fare, ecc... ecc...
    >
    > e adesso? "Scrivi l'automatismo che ti
    > formatto l'HD!"
    > Bravi! Continuate cosi'!
    >
    > Creare la domanda per poi soddisfarla.
    > William Gates III

    Ma non e' quello che insegnano a scuola? Sul serio, questa e' la verita'. Vuoi cambiare le cose? I think you're in for a BIG battle Sorride
    non+autenticato
  • falle, buchi, patch e quant'altro.
    Ma che palle! un sistema bucato come un colapasta è il più diffuso al mondo; è come comprare una macchina e andare due volte alla settimana dal meccanico.
    Bill Gates caciottaroCon la lingua fuori
    non+autenticato


  • - Scritto da: Ombra
    > falle, buchi, patch e quant'altro.
    > Ma che palle! un sistema bucato come un
    > colapasta è il più diffuso al mondo; è come
    > comprare una macchina e andare due volte
    > alla settimana dal meccanico.
    > Bill Gates caciottaroCon la lingua fuori

    Mah... Il problema non e` che venga venduto, ma che venga comprato...
    Scarsa informazione, pubblicita` piu` o meno occulte e sopratutto false e non realistiche, stampa specialistica paurosamente di parte se non addirittura pagata dai produttori/fornitori di software... Quanti, di quelli che usano Windows, hanno Office? E quanti al suo posto usano un software diverso da Word per scrivere testi anche semplici?
    Una risposta a questa domanda sarebbe gia` ben chiarificatrice.
    non+autenticato
  • - Scritto da: Mentore Siesto

    > Mah... Il problema non e` che venga venduto,
    > ma che venga comprato...
    > Scarsa informazione, pubblicita` piu` o meno
    > occulte e sopratutto false e non
    > realistiche, stampa specialistica
    > paurosamente di parte se non addirittura
    > pagata dai produttori/fornitori di
    > software...

    Sul fatto che la stampa sia pagata dai produttori non ne sono convinto, almeno non credo che cio' determini l'imposizione di un prodotto rispetto ad un altro altrimenti altre case produttrici potrebbero fare lo stesso e ottenere lo stesso successo (o almeno migliorare la propria posizione nel mercato, cosa che non e' ancora avvenuta).

    > Quanti, di quelli che usano
    > Windows, hanno Office? E quanti al suo posto
    > usano un software diverso da Word per
    > scrivere testi anche semplici?
    > Una risposta a questa domanda sarebbe gia`
    > ben chiarificatrice.

    Per quello che so io, in termini di business model, quello che si cerca di fare con il software e' acquisire utenti con un qualsiasi software. A quel punto l'obiettivo diventa vendere allo stesso cliente altri prodotti da te prodotti. Cioe', la cosa importante e' creare la base di utenti e poi vendere a quegli stessi utenti un secondo, un terzo, e perche' no un quarto prodotto.
    Il cliente se compra e' perche' si fida ti de dal momento che ha gia' provato un prodotto e quindi e' piu' propenso a scegliere software che viene da te rispetto a quello che viene da un altro.

    Chiamalo come ti pare questo processo, ma in termini semplici io lo chiamo economia. Poi, ripeto, le cose negli States sono diverse da come sono in Italia, settore software specialmente. Quello che a te costa un 20% dello stipendio qui e' il 5-10%....

    Ciao
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)