Cerca nel blog

2006/02/14

Ci risiamo, immagini di nuovo a rischio per chi usa Windows. Pronta la patch

Questo articolo vi arriva grazie alle gentili donazioni di “alecorcella”, “kurotogane” e “fizzoni”.

La eEye Digital Security ha scoperto una falla di Windows Media Player che consente di prendere il controllo di un PC Windows usando semplicemente un'immagine. No, questa notizia non è un doppione: stavolta il formato d'immagine a rischio non è il vetusto WMF che ha causato il panico ai primi di gennaio 2006, ma il più diffuso BMP.

Secondo l'annuncio di eEye, la falla è costituita da un buffer non controllato presente nel codice di Windows Media Player, dalle versioni 7.1 alla 10, per Windows NT, Windows 2000 SP4, Windows XP con Service Pack 1 e 2, e Windows 2003.

Per sfruttare la falla è sufficiente confezionare un'immagine in formato BMP e darla in pasto a Windows Media Player, oppure confezionare un documento, per esempio con Word, immettendovi un'immagine in formato WMP (Windows Media Player). Securityfocus indica anche la possibilità di usare una skin di Media Player.

Se l'utente ha privilegi di amministratore (la norma, purtroppo, in Windows), la falla consente all'aggressore di prendere completamente il controllo del computer della vittima: installare programmi e vedere, cambiare o cancellare dati, per esempio.

Microsoft ha pubblicato la patch (aggiornamento) che ripara questa falla e varie altre, documentate dal bollettino Microsoft di febbraio. Una di queste altre falle, come quella BMP, è considerata "critica" e riguarda Internet Explorer; le altre cinque sono classificate come "importanti".

È ovviamente consigliabile scaricare e installare subito questi aggiornamenti di sicurezza, usando la normale funzione Windows Update.

eEye segnala inoltre che ci sono ancora tre falle aperte riguardanti il software Microsoft: due di esse sono ad alto rischio, e la più vecchia attende di essere rimediata da 225 giorni. Zio Bill non è l'unico a prendersela un po' troppo comoda: eEye nota che il software di Real Networks, per esempio, ha due falle in attesa di rattoppo rispettivamente da 30 e 16 giorni.

Punto Informatico, inoltre, segnala la scoperta tutta italiana di un'altra vulnerabilità grave in Windows, che non viene risolta dalle patch Microsoft più recenti.

14 commenti:

Anonimo ha detto...

E con questo fanno occhio e croce 70 patch dal dopo Service Pack 2!!!;-))
Meno male che dopo il service pack 2 si dovevano tappare parecchie falle, e lasciarne scoperte sempre meno....
Invece qua le falle aumentano giorno x giorno! Ma una ditta che fa deve avere una persona che passa tutto il giorno ad informarsi e poi installare patch a random??
Già viene il mal di testa a me con 3 Pc in casa.......
Sempre più gente penserà seriamente a linux a sto punto.
Ciaooooo

Anonimo ha detto...

Oddio sono morto dal ridere dopo aver letto (non sono utente windows per fortuna), speriamo che la gente si svegli e prenda in considerazione le numerose alternative ;)

Anonimo ha detto...

Beh, tecnicamente basta avere gli aggiornamenti automatici attivi ed una certa dose di banda. In sistemi un po' più complessi dove gli aggiornamenti automatici potrebbero essere disabilitati per scelte strategiche di qualche tipo (?) il lavoro di un sysadmin potrebbe diventare oneroso un martedì al mese...
All'università hanno messo i pc in dual boot con fedora che fa gli aggiornamenti da sola ogni notte, ma in windows non mi pare ci sia la possibilità di pianificare gli aggiornamenti automatici; quando arrivano arrivano. :p

Anonimo ha detto...

Lavoro con Windows in ambito enterprise con vari server 2000 e 2003 e molti (troppi client). Per "noi" esiste il SUS ossia il Software Update Services che si occupa di proprio di questo. In sostanza è un windows update locale in modo da limitare proprio la larghezza di banda e sprecare poche risorse: il server scarica l'aggiornamento e i client lo prendono da lui. Segnalo poi che con le group policy puoi centralizzare la distribuzione del software sui client (da win2k) con poche operazioni amministrative.
Questo per dire che Microsoft, con tutti gli errori e le cappellate che fa, i problemi li affronta e a volte li risolve abbastanza bene.
Ciao
Marco

Anonimo ha detto...

Spero che Paolo concluda al più presto il suo "Da windows a Mac" per spiegarmi gli effettivi pro di un Mac.
Voglio dire, la maggior protezione o stabilità dell'OS non mi convince appieno visto che ci sono meno utenti windows (o mi sbaglio?) e quindi meno probabilità di trovare magagne (e comunque ho visto Mac crashare). Per non parlare dei costi di un Mac che superano quelli di un pc tre o quattro volte tanto (intendo dire che questo non è certo un pro).

Nel frattempo mi accontento di questo video: http://video.google.com/videoplay?docid=8950683777405953493&q=mac+suck

Paolo Attivissimo ha detto...

simpatico il video, ma se questo tizio è così scontento, perché ammette alla fine che l'ha realizzato su un Mac?

La maggior parte delle cose di cui si lamenta sono presenti anche in Windows (dati persi, programmi che spariscono dopo un crash, icone che lampeggiano o saltellano) e sono disattivabili o (nei nuovi OS X) disattivate in partenza.

Io ho la mia lista di magagne, appena ho tempo la pubblico qui insieme ai pro.

Per rispondere al dubbio: il costo di un Mac non è molto superiore a quello di un PC + antivirus + firewall + antispyware + configurazione per blindarlo + copia dell'Acchiappavirus per sapere come fare (ok, li puoi avere tutti gratis, ma il tuo tempo non vale nulla?).

Confronta hardware con hardware: quanto costa un 12" portatile Windows rispetto a un iBook 12"?

Pro fondamentale del Mac: non è infettabile da tutto il malware Windows in circolazione (ovviamente, ma è comunque un bel bonus). Non ci sono worm per Mac OS X (anche se si può fare comunque phishing e creare malware, ma è più difficile). Gli utenti non lavorano con privilegi di amministratore.

Non c'è un browser integrato nel sistema operativo per motivi di elusione antitrust, col risultato di dare all'aggressore accesso diretto al cuore del sistema ogni volta che usi il browser e/o guardi un file.

Arriva con preinstallata una vagonata di software utile. Legge e genera PDF dal momento che lo accendi.

Soprattutto, è uno UNIX.

Per ora mi fermo :-)

Crash? Sì, anche i Mac crashano. Le applicazioni scritte male crashano allegramente su qualsiasi sistema operativo. Mac OS X mi è crashato meno di dieci volte in due anni di uso continuo (24/7, senza *mai* spegnere) di due Mac. Mi accontento.

Cigno ha detto...

Beh grazie per l'immediata risposta. Nel frattempo ho trovato questo:
http://www.mac-sucks.com
...che prendo con le pinze. E ovviamente aspetto il tuo "why switch".

Gacattos ha detto...

Ho letto quanto suggerito da utenti Linuxiani vari su alcuni post fa.
Ho capito l'immensa differenza inerente la sicurezza tra Win e Linux/Mac.
Ho scaricato e sto leggendo il libro di Paolo da Win a Linux.
Ci sto ragionando sopra. Windows è evidente che è un colabrodo e lo sarà per chissà quanto tempo ancora.
Una domanda Paolo tu che hai provato un pò tutti i systems:
Linux contro Mac, ovvero i pro ed i contro dei due sistemi operativi messi a confronto tra di loro.
Sì lo so Paolo che ti renderai poco simpatico a qualcuno...............
Sono graditi interventi con esperienze di utenti vari. Grazie.

Anonimo ha detto...

@Paolo: forse tu puoi chiarire il dubbio che ha colto lo "handler on duty" all'Internet Storm Center del SANS:
http://isc.sans.org/diary.php?storyid=1123

Ti risulta che la release di Mac OS X sia passata direttamente da 10.4.3 a 10.4.5?
Se è così, scrivigli, altrimenti gli vengono i complessi di inferiorità per aver lisciato una hotfix :-)

Anonimo ha detto...

Grazie a Paolo per la segnalazione!

Io ho (e avevo) la funzione aggiornamenti automatici settata su "Avvisa ma non scaricarli e non installarli".

Per un certo periodo ha funzionato tutto regolarmente: ogni tanto mi segnalava la presenza di un aggiornamento critico e io provvedevo a scaricarlo e installarlo avviando manualmente Windows Update.

Adesso, nonostante la segnalazione di "Patch Pronta" di Paolo, non mi compariva il classico scudo giallo con relativo fumetto "aggiornamenti disponibili".

Mi sono collegato a Windows Update e ho constatato che c'erano ben 5 (cinque!) aggiornamenti critici che dovevo ancora installare!

Ho controllato il Centro di Sicurezza per vedere se per caso avevo disattivato inavvertitamente la notifica delgi aggiornamenti critici, ma era sempre su "avvisa ma non scaricare e non installare".

***

Ciliegina sulla torta: sul portatile dei miei il fumetto "aggiornamenti disponibili" compare ogni volta che si accende il PC e quando clicki per scegliere gli aggiornamenti ti compare la finestra con la lista vuota!!!

***

Paolo, hai idea di come risolvere questi due problemi?

Mac e Linux a parte... ;-)

Ciao
Daniele Gallesio

Paolo Attivissimo ha detto...

Fab: io ho la 10.4.4 e sto scaricando e installando la 10.4.5, per cui il blogger dell'ISC se l'è persa, glielo dici tu che io son di corsa?

Info sull'update Apple: http://www.info.apple.com/kbnum/n303179-it

Daniele: no, non so come risolverli, ho lasciato da tempo quella valle di lacrime :-)

Anonimo ha detto...

Windows fa SCHIFO, questa ne è la riprova, semmai ce ne fosse bisogno. Io sono intrappolato con Win98-SE e ormai sto iniziando ad averne piene le tasche di aver paura ogni volta che mi connetto in rete. Quest'estate potrò permettermi di tenere il Notebook "inattivo" il tempo sufficiente per passare a Linux. Ho già mandato al diavolo altri programmi Microsoft (Internet Explorer, Outlook e la suite di Office) in favore dei software open-source di Mozilla e OpenOffice.org, e maledico quei siti internet (come quelli delle banche) come mi costringono ad utilizzare Internet Explorer.

Anonimo ha detto...

Boh, io oggi ho deciso di formattare il mio laptop con win xp sp2, dopo ben 2 anni di onorato servizio, non per necessità, ma per volontà di pulizia.

Sono un programmatore e lavoro in ambiente windows da sempre. Credo che la gente abbia problemi su win perchè non lo sa usare. Sì, sono vere tutte le magagne dei sistemi microsoft, ma io con i miei 3 pc casalingUI, il portatile, i 4 pc dell'ufficio, e svariati altri pc configurati per clienti e ditte varie, non ho mai avuto rogne insormontabili.
Il punto è solo uno: l'utente.
Se l'utente è bravo lo sarà anche su windows.
Se l'utente è un cane, in grado di incasinare pure un mainframe della NASA, allora non ci sono sistemi operativi che tengano.
All'università ero COSTRETTO a lavorare con dei MAC costosissimi che puntualmente si INTOPPAVANO e toccava riavviarli spessissimo. Ma lì il problema erano gli utenti, mica quelle povere macchine!
Comunque la risoluzione di problemi seri su mac è diventata più semplice solo dopo l'avvento di MacOSX, prima c'era solo un gran caos.

Windows XP è un bel sistema operativo, lo ripeto.
Se poi qualcuno volesse divertirsi con linux sappia che se non è esperto troverà molte difficoltà a fare operazioni che prima faceva in un attimo su win.
Saluti a tutti e un grazie a Paolo per il suo ottimo servizio.

Un lettore, non stipendiato da zio Bill

Guido ha detto...

-- lo so che non si risponde a distanza di 10 anni ma non resisto --
troverà molte difficoltà a fare operazioni che prima faceva in un attimo su win.
tipo installare un virus che ti cifra l'hdd e ti chiede soldi per decrittarlo?