Microsoft Virtual PC ha un problema di sicurezza

Redazione di Hardware Upg · 18-03-2010, 16:44

Link alla notizia: http://www.hwupgrade.it/news/sicurez...zza_31971.html

Core Security Technologies ha diffuso una nota nel quale viene descritto un proble di sicurezza di Microsoft Virtual PC

Click sul link per visualizzare la notizia.

egounix · 18-03-2010, 16:54

mi pare ovvio proteggere una virtual machine, è come un pc fisico in rete

WolfTeo · 18-03-2010, 17:21

W vmware lo uso e va da dioXD lo installi su SD diretta sulle mobo e poi lasci tutti i disper lo storage

delle virtual machines...... 1 pc virtuale come ben detto = pc fisico come protezione.....

Atheist · 18-03-2010, 21:40

e dove sarebbe la novita'?

WarDuck · 18-03-2010, 21:53

Quote:

Originariamente inviato da Atheist

e dove sarebbe la novita'?

Te la potevi risparmiare... nel frattempo notiamo la tempestività della redazione nel segnalare questo bug, mentre invece sembra sfuggito a molti il bug che affligge Firefox 3.6 da oltre un mese, non ancora patchato (cosa che IMHO DEVE fare notizia data la natura open di Firefox):

http://secunia.com/advisories/produc...dvisories_2010

riazzituoi · 18-03-2010, 22:10

.

WarDuck · 18-03-2010, 22:30

Quote:

Originariamente inviato da riazzituoi

Non credo che sia sfuggito, ma non è stata presa proprio in considerazione dato che nessuno, a parte quello che pare abbia trovato la falla, ha visto un poc credibile. Anche Secunia non è a conoscenza dei dettagli, ma ha pubblicato l'advisory sulla parola (cosa che generalmente non fa)
http://www.hwupgrade.it/forum/showpo...postcount=4360

Questo non significa affatto che la falla non esista.

riazzituoi · 18-03-2010, 22:42

.

WarDuck · 18-03-2010, 23:32

Ho appena dato un'occhiata ai forum riportati da secunia, sembra in effetti un hoax, per cui ritiro ciò che ho detto.

Tuttavia vorrei cmq far notare che le news in cui compare Microsoft non sono quasi mai prese con obiettività.

Tanto per la cronaca Windows 7 Professional non integra nativamente Virtual PC, è necessario scaricarlo a parte.

egounix · 18-03-2010, 23:59

più che altro occhio ai drivers usati con virtual pc, non per fare pubblicità negativa, ma non è molto indipendente (l'xp mode) dall'host

per fare un esempio, installando un driver certificato (pinnacle 200e) xp/vista/x86/x64 - il quale su 7 x64 gira perfettamente - ho ricevuto prima la bsod sull'xp mode e poi anche su 7
cosa che non accade con altra virtual machine

non so se c'entri qualcosa, ma questo virtual pc mi pare troppo dipendente da 7

S1©kßø¥ · 19-03-2010, 00:23

Ma quale motivo ci sarebbe per scaricare Virtual PC?
Esiste VMWare player che, mi spiace dirlo, è epoche avanti.
E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host.

L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare.
Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.

WarDuck · 19-03-2010, 00:53

Quote:

Originariamente inviato da S1©kßø¥

Ma quale motivo ci sarebbe per scaricare Virtual PC?
Esiste VMWare player che, mi spiace dirlo, è epoche avanti.
E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host.

L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare.
Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.

Non serve, installi l'XP Mode, poi converti la macchina virtuale con VMWare Player, c'è la funzione bella in vista nel menù principale dopo aver installato XP Mode

.

riazzituoi · 19-03-2010, 10:26

.

PhirePhil · 19-03-2010, 14:24

@riazzituoi

RC? cioè per correggere un problema di sicurezza devo usare software non RTM? A casa mia non si chiama patch, questa... -.-

In genere il software MS è gestibile tramite group policy quindi immagino che anche per virtual pc sia ipotizzabile una gestione centralizzata che magari con VMware non è possibile (ho detto immagino in quanto non ne sono sicuro, parlo per esperienza con gli altri software a corredo del SO). Per il resto anche la versione Ultimate non integra virtual PC che deve essere scaricato a parte (mi pare che siano addirittura 2 pacchetti distinti, quello solo con il software di virtualizzazione e quello con l'xp virtualizzato).

riazzituoi · 19-03-2010, 15:18

.

WarDuck · 20-03-2010, 00:59

http://blog.mozilla.com/security/201...isory-sa38608/

La falla è stata corretta grazie ai dettagli forniti a Mozilla, il fatto che sia open in questo caso non mi sembra abbia contribuito, dato che ripeto, è rimasta aperta per 1 mese, ma cmq...

riazzituoi · 20-03-2010, 12:31

.

WarDuck · 20-03-2010, 17:11

Quote:

Originariamente inviato da riazzituoi

Ha contribuito nel senso che a diferenza di altri prodotti closed, non hanno nascosto la falla facendo pensare agli utenti che "0 falle riportate = prodotto più sicuro" (ovvero falso senso di sicurezza, e falle patchate a distanza di anni)

Ma per favore... tutti i prodotti hanno falle latenti in attesa di essere scoperte, quel tizio l'ha scoperta e ha dato informazioni 1 mese dopo a mozilla.

La responsabilità di chi scopre una falla e non la segnala subito non ce la metti? Questa è una cosa grave IMHO che prescinde proprio dall'esser open o closed, e può "colpire" chiunque.

Viceversa mi sarei aspettato che la mentalità "open" avrebbe portato qualcun altro a scoprire la falla e segnalarla, cosa che non si è verificata.

Open source non è sinonimo di qualità, come invece qualcuno vuol far credere.

Per il resto non credo affatto che tu possa dimostrare l'intenzionalità di nascondere falle con quello scopo.

Questo ricade nella sfera del "pensar male". Che è ben diverso da avere dati oggettivi.

Tant'è che ogni volta che esce una patch c'è qualcuno che si lamenta

Oppure quando si sente parlare di un bug si commenta senza accertarsi dell'effettiva gravità della falla, a volte dando luogo a titoli senzazionalistici.

riazzituoi · 20-03-2010, 19:16

.

WarDuck · 20-03-2010, 19:49

Quote:

Originariamente inviato da riazzituoi

[..]
Ma quale pensare male, ormai è pratica comune in progetti closed nascondere le falle, e patcharle solo se messi alle strette.
Qui puoi trovare due esempi:
http://www.hwupgrade.it/forum/showpo...04&postcount=4
http://www.hwupgrade.it/forum/showpo...&postcount=139

ma se uno volesse indagare di magagne del genere ne troverebbe a iosa, come anche le falle che magicamente vengono trasformate in feature

2 falle = pratica comune?

Ma soprattutto come si può affermare che questo sia intenzionale? Sulla base di cosa poi viene deciso quale falla nascondere e quale no?

E' chiaro che ci saranno delle responsabilità, ma se fosse come dici allora dovrebbero fare così con tutte le falle, e non mi sembra.

Non confondiamo la negligenza con l'intenzionalità.

Opera è closed eppure non mi risulta nascondi falle, quindi l'equazione closed source = falle nascoste è decisamente forzata.

E' cmq è nell'interesse dell'azienda cercare di mantenere (e nel caso di Microsoft recuperare) crediblità.

Quote:

Originariamente inviato da riazzituoi

E come avrebbero dovuto scoprire la stessa identica falla senza sapere neanche di cosa si trattasse?

Tramite i milioni di occhi di milioni di utenti che (si dice) controllano il codice open source

18-03-2010, 21:40	#4
Atheist Bannato Iscritto dal: Dec 2009 Messaggi: 192	ah si? e dove sarebbe la novita'?

18-03-2010, 22:10	#6
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:49.

18-03-2010, 22:42	#8
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:49.

18-03-2010, 23:32	#9
WarDuck Senior Member Iscritto dal: May 2001 Messaggi: 12900	Ho appena dato un'occhiata ai forum riportati da secunia, sembra in effetti un hoax, per cui ritiro ciò che ho detto. Tuttavia vorrei cmq far notare che le news in cui compare Microsoft non sono quasi mai prese con obiettività. Tanto per la cronaca Windows 7 Professional non integra nativamente Virtual PC, è necessario scaricarlo a parte. Ultima modifica di WarDuck : 18-03-2010 alle 23:39.

19-03-2010, 10:26	#13
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:48.

18-03-2010, 16:44	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/sicurez...zza_31971.html Core Security Technologies ha diffuso una nota nel quale viene descritto un proble di sicurezza di Microsoft Virtual PC Click sul link per visualizzare la notizia.

18-03-2010, 16:54	#2
egounix Bannato Iscritto dal: May 2005 Città: Se ho fatto qualcosa di male... rivolgersi a FroZen!!! Messaggi: 20102	mi pare ovvio proteggere una virtual machine, è come un pc fisico in rete

18-03-2010, 17:21	#3
WolfTeo Member Iscritto dal: Feb 2005 Città: Milano Messaggi: 148	W vmware lo uso e va da dioXD lo installi su SD diretta sulle mobo e poi lasci tutti i disper lo storage delle virtual machines...... 1 pc virtuale come ben detto = pc fisico come protezione.....

18-03-2010, 23:59	#10
egounix Bannato Iscritto dal: May 2005 Città: Se ho fatto qualcosa di male... rivolgersi a FroZen!!! Messaggi: 20102	più che altro occhio ai drivers usati con virtual pc, non per fare pubblicità negativa, ma non è molto indipendente (l'xp mode) dall'host per fare un esempio, installando un driver certificato (pinnacle 200e) xp/vista/x86/x64 - il quale su 7 x64 gira perfettamente - ho ricevuto prima la bsod sull'xp mode e poi anche su 7 cosa che non accade con altra virtual machine non so se c'entri qualcosa, ma questo virtual pc mi pare troppo dipendente da 7

19-03-2010, 00:23	#11
S1©kßø¥ Senior Member Iscritto dal: May 2002 Messaggi: 2932	Ma quale motivo ci sarebbe per scaricare Virtual PC? Esiste VMWare player che, mi spiace dirlo, è epoche avanti. E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host. L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare. Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.

19-03-2010, 14:24	#14
PhirePhil Senior Member Iscritto dal: Jan 2006 Messaggi: 323	@riazzituoi RC? cioè per correggere un problema di sicurezza devo usare software non RTM? A casa mia non si chiama patch, questa... -.- In genere il software MS è gestibile tramite group policy quindi immagino che anche per virtual pc sia ipotizzabile una gestione centralizzata che magari con VMware non è possibile (ho detto immagino in quanto non ne sono sicuro, parlo per esperienza con gli altri software a corredo del SO). Per il resto anche la versione Ultimate non integra virtual PC che deve essere scaricato a parte (mi pare che siano addirittura 2 pacchetti distinti, quello solo con il software di virtualizzazione e quello con l'xp virtualizzato).

19-03-2010, 15:18	#15
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:48.

20-03-2010, 00:59	#16
WarDuck Senior Member Iscritto dal: May 2001 Messaggi: 12900	http://blog.mozilla.com/security/201...isory-sa38608/ La falla è stata corretta grazie ai dettagli forniti a Mozilla, il fatto che sia open in questo caso non mi sembra abbia contribuito, dato che ripeto, è rimasta aperta per 1 mese, ma cmq...

20-03-2010, 12:31	#17
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:48.

20-03-2010, 19:16	#19
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 30-04-2010 alle 11:48.

Strumenti
Mostra una versione stampabile Invia questa pagina per email