Cerca nel blog

1998/08/14

[IxT] Virus via email: possibile con Eudora Pro, Outlook e Netscape (14 agosto 1998)

Non è la solita bufala. Stavolta si fa sul serio, ma comunque non è il caso di allarmarsi. Alcuni fra i più diffusi programmi di e-mail possono, in particolarissime condizioni, veicolare un virus attraverso la posta elettronica.

Intendiamoci subito: la notizia che sto per darvi non viola il concetto di base della sicurezza nell'e-mail, cioe' che un _normale_ messaggio di e-mail non può, ne' potrà mai, trasportare un virus che automaticamente infetti il vostro computer.

Solo gli _allegati_ ai messaggi possono trasmettere virus.

Detto questo, vediamo cos'e' successo. Ne hanno parlato molti giornali anche non specializzati, col risultato di generare panico inutile. Il pericolo esiste, ed è opportuno attrezzarsi, ma non c'e' da correre in giro strappandosi i capelli (se li avete).

Parte del materiale che riporto qui è tratto (con il permesso degli autori) dall'"Internet Tourbus" di Patrick Douglas Crispen e Bob Rankin.

Se v'interessa l'originale:

=[ Tourbus Rider Information ]=

The Internet Tourbus - U.S. Library of Congress ISSN #1094-2238

Copyright 1995-97, Rankin & Crispen - All rights reserved

Archives on the Web at http://www.TOURBUS.com

Join: Send SUBSCRIBE TOURBUS Your Name to LISTSERV@LISTSERV.AOL.COM

Leave: Send SIGNOFF TOURBUS to LISTSERV@LISTSERV.AOL.COM

=

Quali programmi sono colpiti

Innanzi tutto una cosa: non tutti i programmi per la gestione dell'e-mail sono colpiti da questo problema. Lo sono soltanto quelli che hanno un particolare difetto di programmazione che li rende vulnerabili.

I programmi vulnerabili sono:

-- Microsoft Outlook

-- Microsoft Outlook Express

-- Netscape Messenger

-- Netscape Communicator da 4.0 fino a 4.05 sotto Windows 3.1, 95, 98 e NT

-- le sezioni e-mail e newsgroup di Netscape Communicator 4.5 Preview Release 1 sotto Windows 95, 98 e NT

e, per un altro motivo

-- Eudora Pro 4.0 and 4.0.1 per Windows

-- Eudora Pro CommCenter 4.0 e 4.0.1 per Windows

Le altre versioni di Eudora _non_ hanno questo difetto.

In particolare, non ne sono affetti Eudora Light, tutte le versioni per Macintosh e tutte le versioni precedenti a quelle sopra indicate.

Il difetto di Outlook, Outlook Express e Messenger

Come confermato da una delle fonti più autorevoli in materia di sicurezza informatica, il Computer Incident Advisory Capability (CIAC) del Dipartimento per l'energia degli Stati Uniti, Microsoft Outlook, Microsoft Outlook Express e Netscape Messenger contengono una cosiddetta "vulnerabilità all'overflow del buffer", che consente a un e-mail o a un messaggio dei newsgroup di contenere istruzioni potenzialmente pericolose in un header (intestazione del messaggio) in formato MIME.

In termini terra terra: i nomi delle intestazioni dei messaggi hanno un limite di lunghezza.

Ma cosa succede se un'intestazione è più lunga di quanto consentito dal programma che la gestisce? In genere il programma si limita a dare un messaggio di errore. Ad esempio, se prelevo da Internet un file il cui nome è lungo più di quanto ammesso dal mio sistema operativo, il nome di solito viene troncato in modo da adattarlo al limite di lunghezza prescritto. Fin qui, nessun problema.

Outlook, Outlook Express, Messenger e soci, invece, si ritengono più furbi e si comportano in modo completamente diverso.

Questi programmi, infatti, non controllano la lunghezza dell'header di un messaggio prima di elaborarlo. Se la lunghezza supera il limite previsto, l'elaborazione avviene grosso modo così:

-- il testo dell'header viene immesso in un'area di lavoro del programma, ma l'header è troppo lungo per starci tutto

-- la parte eccedente "tracima" dall'area di lavoro e va a sovrascrivere alcune istruzioni del programma.

-- se queste istruzioni sovrascritte vengono eseguite, e se contengono comandi del tipo "formatta il disco" o "cancella tutti i file" o "sostituisci tutte le A con F in tutti i file", le istruzioni dannose vengono eseguite senza che possiate fare nulla per impedirlo.

Va detto che finora nessuno è riuscito a sfruttare questo difetto di programmazione per causare danni (o almeno non se ne ha notizia), ma il rischio esiste.

Il difetto di Eudora

Ecco un sunto della spiegazione fornita sul sito di Eudora, presso

http://eudora.qualcomm.com/security.html

Un utente malintenzionato può includere in un e-mail un "applet" (microprogramma) in linguaggio Java o uno script. In questo modo si può allegare a un e-mail un programma eseguibile (cosa del resto possibile con qualsiasi programma di gestione della posta), "nascondendo" il nome dell'allegato come URL nel messaggio. Se l'utente clicca sull'URL nel messaggio, viene eseguito l'allegato, dando la possibilità di infettare o altrimenti danneggiare il computer del destinatario del messaggio.

Qualcomm ribadisce che il problema tocca:

-- Eudora Pro Email 4.0 per Windows

-- Eudora Pro Email 4.0.1 per Windows

e che il problema _non_ riguarda

--- Eudora Pro Email 4.1 per Windows, disponibile in versione beta sul sito Web della Qualcomm

--- Eudora Light

--- le versioni di Eudora Pro precedenti la 4.0

Si raccomanda _sempre_ di non lanciare allegati senza un controllo antivirus, soprattutto se provengono da sconosciuti.

Come rimediare

Per Outlook Express, visitate http://www.microsoft.com/ie/security/oelong.htm

Per Outlook '98, visitate http://support.microsoft.com/support/downloads/LNP499.asp e cliccate su "More Information" sotto il paragrafo "OUTPATCH.EXE: Microsoft Outlook 98 Security Patch".

Per Netscape Messenger (Mail), visitate http://home.netscape.com/products/security/resources/bugs/longfile.html

Per Eudora, Qualcomm consiglia di prelevare dal suo sito la "patch", ossia un miniprogramma che modifica la vostra versione di Eudora correggendone la parte difettosa. La patch è disponibile da subito e gratuitamente.

Niente panico, dunque

L'e-mail è e continua ad essere un servizio sicuro. Anzi, il più sicuro di Internet. I problemi di Outlook, Outlook Express, Messenger, Eudora e compagnia bella sono semplicemente la conseguenza di programmazione di pessima qualità. Sapeste quanti altri programmi hanno lo stesso difetto...

Ricordo comunque che nonostante gli allarmi diffusi in questo periodo, anche con questi programmi non è possibile infettare il computer semplicemente _leggendo_ sullo schermo un messaggio o un e-mail di puro testo, qualunque sia il titolo del messaggio.

 

Questo articolo è una ripubblicazione della newsletter Internet per tutti che gestivo via mail all’epoca. L’orario di questa ripubblicazione non corrisponde necessariamente a quello di invio della newsletter originale. Molti link saranno probabilmente obsoleti.

Nessun commento: