 |
drakend |
.grande:maestro.
Registered: Oct 2002
Posts: 1857 (0.23 al dì)
Location:
Corso:
Anno:
Time Online: 11 Days, 16:15:18 [...]
Status: Offline
Edit | Report | IP: Logged |
[Sicurezza] Ancora bachi in IE+Internet Explorer...
Oggi questa notizia su Punto Informatico:
http://punto-informatico.it/p.asp?i=52801
Scoperto spiffero in IE e Outlook
Un team di esperti ha reso nota la presenza di una vulnerabilità di sicurezza classificata ad alto rischio. Microsoft al lavoro sulla patch
6/05/05 - News - Aliso Viejo (USA) - Per la seconda volta nel giro di pochi mesi la società di sicurezza eEye Digital Security ha scoperto una vulnerabilità che accomuna Internet Explorer e Outlook, due fra i più diffusi programmi di Microsoft.
eEye sostiene che la falla rappresenta una seria minaccia alla sicurezza degli utenti a causa della possibilità che un cracker la sfrutti per eseguire del codice da remoto "con il minimo intervento dell'utente".
La società di sicurezza, che ha segnalato la falla a Microsoft lo scorso 5 maggio, sta attualmente collaborando con il big di Redmond allo sviluppo di una patch. eEye divulgherà i dettagli della vulnerabilità solo quando sarà disponibile il fix: per il momento si è limitata a pubblicare un advisory preliminare in cui spiega che il problema interessa tutte le versioni di Windows NT/2000/XP e forse anche Server 2003.
Lo scorso marzo eEye aveva segnalato altre due serie vulnerabilità di IE e Outlook che Microsoft, ad oggi, non ha ancora corretto: la mamma di Windows sostiene che non si ha notizia di exploit capaci di sfruttare tali debolezze.
In un altro advisory eEye ha rivelato che in alcune versioni di Real Player c'è una falla di sicurezza legata alle gestione di un imprecisato tipo di file. Un aggressore potrebbe riuscire ad eseguire del codice a propria scelta semplicemente inducendo un utente ad aprire un file malevolo. Anche in questo caso eEye divulgherà i dettaglia del problema nel momento in cui RealNetworks rilascerà una correzione per il proprio player. Nel frattempo gli esperti di sicurezza raccomandano agli utenti di tenere aggiornati i propri antivirus e antispyware e di non aprire file multimediali dalla provenienza sconosciuta.
Al di là della pena infinita che provo di fronte a queste continue notizie di bachi nei prodotti Microsoft (che sono di punta per altro, nemmeno di nicchia), vorrei soffermarmi sulle due parti dell'articolo che ho evidenziato in grassetto:
1) Microsoft è a conoscenza del problema dal 5 maggio ed ancora (dopo 10 giorni) non ha rilasciato alcuna patch. Mozilla ha rilasciato la patch ai problemi di sicurezza che sono recentemente emersi dopo due o tre giorni.
2) Con che criterio Microsoft non rilascia le patch delle altre "due serie vulnerabilità" basandosi solo sul fatto che non sono noti exploit che le sfruttino. Il fatto che non siano noti NON significa che non esistano già... soprattutto se i dettagli dell'exploit sono stati resi noti.
3) Questo sarebbe l'impegno di Microsoft per la sicurezza. Che pena.
|
drakend
) di aver scritto IE+Internet Explorer... ovviamente volevo scrivere IE+Outlook 
