Link alla notizia: http://www.hwupgrade.it/news/sicurezza/microsoft-virtual-pc-ha-un-problema-di-sicurezza_31971.html

Core Security Technologies ha diffuso una nota nel quale viene descritto un proble di sicurezza di Microsoft Virtual PC

Click sul link per visualizzare la notizia.

mi pare ovvio proteggere una virtual machine, è come un pc fisico in rete

W vmware lo uso e va da dioXD lo installi su SD diretta sulle mobo e poi lasci tutti i disper lo storage :D
delle virtual machines...... 1 pc virtuale come ben detto = pc fisico come protezione.....

e dove sarebbe la novita'?

e dove sarebbe la novita'?

Te la potevi risparmiare... nel frattempo notiamo la tempestività della redazione nel segnalare questo bug, mentre invece sembra sfuggito a molti il bug che affligge Firefox 3.6 da oltre un mese, non ancora patchato (cosa che IMHO DEVE fare notizia data la natura open di Firefox):

http://secunia.com/advisories/product/28698/?task=advisories_2010

.

Non credo che sia sfuggito, ma non è stata presa proprio in considerazione dato che nessuno, a parte quello che pare abbia trovato la falla, ha visto un poc credibile. Anche Secunia non è a conoscenza dei dettagli, ma ha pubblicato l'advisory sulla parola (cosa che generalmente non fa)
http://www.hwupgrade.it/forum/showpost.php?p=30974110&postcount=4360
;)

Questo non significa affatto che la falla non esista.

.

Ho appena dato un'occhiata ai forum riportati da secunia, sembra in effetti un hoax, per cui ritiro ciò che ho detto.

Tuttavia vorrei cmq far notare che le news in cui compare Microsoft non sono quasi mai prese con obiettività.

Tanto per la cronaca Windows 7 Professional non integra nativamente Virtual PC, è necessario scaricarlo a parte.

più che altro occhio ai drivers usati con virtual pc, non per fare pubblicità negativa, ma non è molto indipendente (l'xp mode) dall'host

per fare un esempio, installando un driver certificato (pinnacle 200e) xp/vista/x86/x64 - il quale su 7 x64 gira perfettamente - ho ricevuto prima la bsod sull'xp mode e poi anche su 7
cosa che non accade con altra virtual machine

non so se c'entri qualcosa, ma questo virtual pc mi pare troppo dipendente da 7

Ma quale motivo ci sarebbe per scaricare Virtual PC?
Esiste VMWare player che, mi spiace dirlo, è epoche avanti.
E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host.

L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare.
Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.

Ma quale motivo ci sarebbe per scaricare Virtual PC?
Esiste VMWare player che, mi spiace dirlo, è epoche avanti.
E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host.

L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare.
Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.

Non serve, installi l'XP Mode, poi converti la macchina virtuale con VMWare Player, c'è la funzione bella in vista nel menù principale dopo aver installato XP Mode :D.

.

@riazzituoi

RC? cioè per correggere un problema di sicurezza devo usare software non RTM? A casa mia non si chiama patch, questa... -.-

In genere il software MS è gestibile tramite group policy quindi immagino che anche per virtual pc sia ipotizzabile una gestione centralizzata che magari con VMware non è possibile (ho detto immagino in quanto non ne sono sicuro, parlo per esperienza con gli altri software a corredo del SO). Per il resto anche la versione Ultimate non integra virtual PC che deve essere scaricato a parte (mi pare che siano addirittura 2 pacchetti distinti, quello solo con il software di virtualizzazione e quello con l'xp virtualizzato).

.

http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608/

La falla è stata corretta grazie ai dettagli forniti a Mozilla, il fatto che sia open in questo caso non mi sembra abbia contribuito, dato che ripeto, è rimasta aperta per 1 mese, ma cmq...

.

Ha contribuito nel senso che a diferenza di altri prodotti closed, non hanno nascosto la falla facendo pensare agli utenti che "0 falle riportate = prodotto più sicuro" (ovvero falso senso di sicurezza, e falle patchate a distanza di anni) ;)

Ma per favore... tutti i prodotti hanno falle latenti in attesa di essere scoperte, quel tizio l'ha scoperta e ha dato informazioni 1 mese dopo a mozilla.

La responsabilità di chi scopre una falla e non la segnala subito non ce la metti? Questa è una cosa grave IMHO che prescinde proprio dall'esser open o closed, e può "colpire" chiunque.

Viceversa mi sarei aspettato che la mentalità "open" avrebbe portato qualcun altro a scoprire la falla e segnalarla, cosa che non si è verificata.

Open source non è sinonimo di qualità, come invece qualcuno vuol far credere.

Per il resto non credo affatto che tu possa dimostrare l'intenzionalità di nascondere falle con quello scopo.

Questo ricade nella sfera del "pensar male". Che è ben diverso da avere dati oggettivi.

Tant'è che ogni volta che esce una patch c'è qualcuno che si lamenta :asd:

Oppure quando si sente parlare di un bug si commenta senza accertarsi dell'effettiva gravità della falla, a volte dando luogo a titoli senzazionalistici.

.

[..]
Ma quale pensare male, ormai è pratica comune in progetti closed nascondere le falle, e patcharle solo se messi alle strette.
Qui puoi trovare due esempi:
http://www.hwupgrade.it/forum/showpost.php?p=28530904&postcount=4
http://www.hwupgrade.it/forum/showpost.php?p=27094367&postcount=139

ma se uno volesse indagare di magagne del genere ne troverebbe a iosa, come anche le falle che magicamente vengono trasformate in feature :asd:


2 falle = pratica comune?

Ma soprattutto come si può affermare che questo sia intenzionale? Sulla base di cosa poi viene deciso quale falla nascondere e quale no?

E' chiaro che ci saranno delle responsabilità, ma se fosse come dici allora dovrebbero fare così con tutte le falle, e non mi sembra.

Non confondiamo la negligenza con l'intenzionalità.

Opera è closed eppure non mi risulta nascondi falle, quindi l'equazione closed source = falle nascoste è decisamente forzata.

E' cmq è nell'interesse dell'azienda cercare di mantenere (e nel caso di Microsoft recuperare) crediblità.


E come avrebbero dovuto scoprire la stessa identica falla senza sapere neanche di cosa si trattasse?


Tramite i milioni di occhi di milioni di utenti che (si dice) controllano il codice open source :asd:

.

[..]

Intenzionale nel senso che finchè non c'è un exploit itw, perchè perdere tempo (soldi) e risorse per una patch che magari mi introdurrà altri problemi? Quando sarà il suo turno la patcherò, adesso ci sono altre priorità. E se chi l'ha riportata comincia a rompere le scatole comincia la tiritera delle scuse (e ma però questo non può essere sfruttato, richiede l'interazione dell'utente, è un comportamento voluto, se ci lascia lavorare in pace mettiamo il suo nome nell'advisory... :asd: )


Probabilmente MS privilegia patchare codice più recente che codice di 8 anni fa trito e ritrito, e saprai certamente meglio di me che mettere patch su patch su una codebase (per giunta vecchia) è a lungo andare decisamente contro-producente.

Non a caso io sono decisamente contro questo "accanimento terapeutico" soprattutto se parto da una codebase di base poco sicura come quella di XP e di IE.

Sono convinto che Microsoft dovrebbe riscrivere da 0 o quasi IE.


te lo vengono a dire a te se nascondono le falle :asd:


No, e neanche te lo sai, quindi è assurda la stessa affermazione "nascondere le falle", anche perché come ho già detto di bug latenti di cui si ignora l'esistenza ne è pieno il software.

Quindi limitiamoci a criticare l'eventuale negligenza.


Per questo c'è il marketing, basta vedere che sta combinando la microsoft con IE9...

Devono recuperare terreno rispetto ai concorrenti, questo è normale.

.