Falla di Outlook. Attesa per la patch

Falla di Outlook. Attesa per la patch

Tutte le più recenti edizioni di Outlook contengono una vulnerabilità che mette a rischio la privacy e la sicurezza degli utenti
Tutte le più recenti edizioni di Outlook contengono una vulnerabilità che mette a rischio la privacy e la sicurezza degli utenti


Redmond (USA) – Come sostengono alcuni esperti di sicurezza, la tecnologia ActiveX di Microsoft fin dal momento della sua introduzione è stata fonte di una lunga serie di problemi di sicurezza, soprattutto quando associata ad Outlook, il celebre sistemone di gestione messaging di Microsoft.

Ed è proprio il client di posta elettronica Microsoft ad essere nuovamente vittima di una falla di sicurezza in un controllo ActiveX, il Microsoft Outlook View Control. Una falla che a quanto pare potrebbe in certe condizioni consentire ad un assalitore di prendere pieno possesso di un sistema remoto.

A differenza di quanto inizialmente annunciato dallo scopritore della falla, l’ormai celebre cacciatore di bug Georgi Guninski, la vulnerabilità interessa, oltre ad Outlook 2002, anche le versioni ’98 e 2000.

Secondo quanto riportato nell’ avviso di sicurezza pubblicato da Microsoft, l’Outlook View Control normalmente dovrebbe permettere all’utente di visualizzare le proprie cartelle di posta elettronica o il calendario di Outlook via Web. In realtà, attraverso la semplice visualizzazione di una pagina Web o l’apertura di un e-mail HTML contenenti uno script malizioso, il controllo ActiveX si trasforma in una pericolosa porta d’accesso al sistema, permettendo la modifica o la cancellazione dei dati di Outlook (mail, calendario, account) o il lancio, attraverso il programma di posta, di un codice distruttivo.

Ancora una volta, Outlook è vittima di quelle funzionalità e di quegli automatismi che dovrebbero rendere più facile la vita agli utenti. Come per molte vulnerabilità precedenti, anche qui l’utente potrebbe involontariamente eseguire uno script malizioso semplicemente visualizzando l’anteprima di una e-mail, senza dunque la necessità di lanciare un allegato.

“E’ estremamente facile – sostiene Guninski – trovare la vulnerabilità. Io l’ho scoperta dopo poco tempo che avevo installato Office XP. E se anche Outlook 98 ne è affetto, come Microsoft ha affermato nel proprio avviso, questo significa che sta qui da anni”.

Come è noto, fra l’esperto di sicurezza bulgaro e il colosso di Redmond non corre buon sangue, ed anche questa volta Microsoft si è parecchio irritata dopo che Guninski ha pubblicato i dettagli della falla di sicurezza, con il relativo exploit, prima che l’azienda potesse rilasciare una patch. Al big di Redmond non sarà piaciuto neppure il titolo che l’irriverente Guninski ha dato al suo bollettino di sicurezza: “MS Office XP: più soldi do a Microsoft, più il mio computer Windows è vulnerabile”.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
16 lug 2001
Link copiato negli appunti