c.m.g
14-11-2007, 00:16
mercoledì 14 novembre 2007
Redmond (USA) - Come promesso (http://punto-informatico.it/p.aspx?i=2086898) lo scorso mese, Microsoft (http://www.microsoft.com/) ha pubblicato una patch che dovrebbe porre fine ai seri problemi di sicurezza (http://punto-informatico.it/cerca.asp?s=falla+uri+sicurezza&o=0&t=4&c=Cerca) introdotti in Windows XP e 2003 da Internet Explorer 7. Problemi legati alla gestione degli URI (Uniform Resource Identifier), e alla possibilità, per un malintenzionato, di creare indirizzi web, mail o di altro tipo in grado di eseguire comandi e programmi senza l'autorizzazione dell'utente.
La vulnerabilità ha interessato molte applicazioni, tra le quali Acrobat e Adobe Reader, FoxIT Reader, Skype, Firefox, Netscape, Miranda IM, Outlook Express e Outlook 2000. Quasi tutti i produttori hanno rilasciato nelle scorse settimane delle correzioni al problema, ma la stessa Microsoft ha recentemente ammesso che tali patch non bastano: per risolvere del tutto il problema era necessario agire a monte, modificando il modo in cui le API di Windows filtrano gli URI non validi.
La patch di Microsoft è arrivata ieri con il rilascio del bollettino MS07-061 (http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx), classificato di importanza "critica".
L'unico altro bollettino pubblicato ieri, l'MS07-062 (http://www.microsoft.com/technet/security/bulletin/MS07-062.mspx), risolve invece una vulnerabilità classificata "importante" nel servizio DNS di Windows 2000 e 2003. Vulnerabilità causata da una debolezza nel generatore di numeri pseudo-casuali di Windows, che un abile cracker potrebbe sfruttare per lanciare attacchi di DNS spoofing e dirottare il traffico Internet verso un server a sua scelta.
Proprio negli scorsi giorni alcuni ricercatori dell'Università di Haifa (http://www.haifa.ac.il/index_eng.html), in Israele, hanno pubblicato un documento in cui analizzano un potenziale problema di sicurezza legato al generatore di numeri pseudo-casuali di Windows. Non è chiaro se il problema descritto dai ricercatori israeliani sia relazionato a quello appena corretto da Microsoft: in ogni caso, nel documento si focalizza l'attenzione sulle conseguenza che la debolezza potrebbe avere sulla solidità degli algoritmi di cifratura. Si veda a tal proposito l'articolo Cifratura di Windows, rischi in vista (http://punto-informatico.it/p.aspx?i=2113887)? pubblicato sul numero odierno di Punto Informatico.
Microsoft ha anche rilasciato una serie di aggiornamenti per Windows Vista, non relativi alla sicurezza, che è possibile scaricare dai link forniti in questo post (http://windowsvistablog.com/blogs/windowsvista/archive/2007/11/12/new-updates-to-windows-vista-available-via-windows-update-this-week.aspx). Gli update promettono di migliorare la compatibilità, la stabilità e l'affidabilità di Vista, correggere alcuni bug relativi alla gestione dell'interfaccia USB e migliorare l'interazione fra Windows Media Center e Xbox 360.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2113880)
Redmond (USA) - Come promesso (http://punto-informatico.it/p.aspx?i=2086898) lo scorso mese, Microsoft (http://www.microsoft.com/) ha pubblicato una patch che dovrebbe porre fine ai seri problemi di sicurezza (http://punto-informatico.it/cerca.asp?s=falla+uri+sicurezza&o=0&t=4&c=Cerca) introdotti in Windows XP e 2003 da Internet Explorer 7. Problemi legati alla gestione degli URI (Uniform Resource Identifier), e alla possibilità, per un malintenzionato, di creare indirizzi web, mail o di altro tipo in grado di eseguire comandi e programmi senza l'autorizzazione dell'utente.
La vulnerabilità ha interessato molte applicazioni, tra le quali Acrobat e Adobe Reader, FoxIT Reader, Skype, Firefox, Netscape, Miranda IM, Outlook Express e Outlook 2000. Quasi tutti i produttori hanno rilasciato nelle scorse settimane delle correzioni al problema, ma la stessa Microsoft ha recentemente ammesso che tali patch non bastano: per risolvere del tutto il problema era necessario agire a monte, modificando il modo in cui le API di Windows filtrano gli URI non validi.
La patch di Microsoft è arrivata ieri con il rilascio del bollettino MS07-061 (http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx), classificato di importanza "critica".
L'unico altro bollettino pubblicato ieri, l'MS07-062 (http://www.microsoft.com/technet/security/bulletin/MS07-062.mspx), risolve invece una vulnerabilità classificata "importante" nel servizio DNS di Windows 2000 e 2003. Vulnerabilità causata da una debolezza nel generatore di numeri pseudo-casuali di Windows, che un abile cracker potrebbe sfruttare per lanciare attacchi di DNS spoofing e dirottare il traffico Internet verso un server a sua scelta.
Proprio negli scorsi giorni alcuni ricercatori dell'Università di Haifa (http://www.haifa.ac.il/index_eng.html), in Israele, hanno pubblicato un documento in cui analizzano un potenziale problema di sicurezza legato al generatore di numeri pseudo-casuali di Windows. Non è chiaro se il problema descritto dai ricercatori israeliani sia relazionato a quello appena corretto da Microsoft: in ogni caso, nel documento si focalizza l'attenzione sulle conseguenza che la debolezza potrebbe avere sulla solidità degli algoritmi di cifratura. Si veda a tal proposito l'articolo Cifratura di Windows, rischi in vista (http://punto-informatico.it/p.aspx?i=2113887)? pubblicato sul numero odierno di Punto Informatico.
Microsoft ha anche rilasciato una serie di aggiornamenti per Windows Vista, non relativi alla sicurezza, che è possibile scaricare dai link forniti in questo post (http://windowsvistablog.com/blogs/windowsvista/archive/2007/11/12/new-updates-to-windows-vista-available-via-windows-update-this-week.aspx). Gli update promettono di migliorare la compatibilità, la stabilità e l'affidabilità di Vista, correggere alcuni bug relativi alla gestione dell'interfaccia USB e migliorare l'interazione fra Windows Media Center e Xbox 360.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2113880)