MSN Messenger e IE, il crash è servito

Alcuni esperti di sicurezza hanno scoperto che, attraverso due diversi bug, è possibile far crashare MSN Messenger, Internet Explorer e Outlook Express. Si temono attacchi vandalici in attesa della patch


Roma – Quasi contemporaneamente, e da diverse fonti, arriva la notizia che MSN Messenger e Internet Explorer sono afflitti da un baco che ne può causare il crash. Sebbene al momento nessuno di questi due bug sembra comportare rischi diretti per la sicurezza degli utenti, gli esperti temono che la facilità con cui possono essere sfruttati possa stuzzicare l’appetito dei ciber-vandali.

Il primo baco, quello di MSN Messenger, è stato descritto dalla risorsa MSFanatic.com e sembra riguardare tutte le più recenti versioni del noto sparamessaggini di Microsoft, incluso Windows Messenger. Il problema sarebbe legato ad un buffer overflow contenuto nella gestione delle intestazioni dei messaggi.

Come spiegato da MSNFanatic.com, il bug può essere sfruttato confezionando un messaggio ad hoc che contenga, nel campo riservato al font dell’intestazione di un messaggio, una stringa di caratteri che superi la capacità del buffer. Eccone un esempio:

 MIME-Version: 1.0 
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Times%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
%20New%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
Roman%20%20%20%20%20%20%20%20%20%20%20; EF=B; CO=ff; CS=0; PF=22

Ciao, ecco un messaggio col botto

Come si può notare, nel campo "FN=Times", che specifica il tipo di font utilizzato nel messaggio, sono stati aggiunti una certa quantità di spazi (codificati con %20) che mandano in overflow il buffer e causano il crash di MSN Messenger.

"Questa falla è un grosso pericolo - commenta MSNFanatic.com - visto che non è così difficile, per un hacker (sic), usarla nelle proprie applicazioni".

Il bug non sembra affliggere Trillian, il noto sparamessaggini open source in grado di veicolare messaggi anche sulla rete di MSN. Lo scopritore della falla, un certo |M|K, sostiene di aver avvisato Microsoft del problema diverso tempo fa.

Su MSNFanatic.com è anche possibile scaricare, in attesa che Microsoft corregga il problema, un piccolo tool per proteggersi dal baco crasha-Messenger. Non provenendo da una fonte ufficiale, si consiglia di eseguire questo programma con le dovute cautele.


L'altro bug riguarda invece Internet Explorer e, in maniera indiretta, Outlook Express. Come descritto dalla società di sicurezza SecuriTeam.com, la vulnerabilità consiste in una errata gestione da parte di IE dei file grafici in formato XBM. Un cracker sarebbe infatti in grado di creare un file di questo tipo appositamente confezionato per mandare IE in crash e consumare una grande quantità di risorse di CPU e di memoria.

Il baco, presente in tutte le versioni di IE a partire dalla 5.5, è causato dal fatto che IE non controlla le dimensioni (larghezza e altezza) dell'immagine definita nel file XBM: in questo modo, secondo quanto spiegato da SecuriTeam.com, sarebbe possibile inserire nell'intestazione del file una dimensione a piacere che obblighi il browser a "tentare di allocare abbastanza memoria per un buffer troppo grande". La conseguenza, come detto, è il crash di IE ed il rapido consumo delle risorse di sistema (anche dopo il crash).

Il bug può coinvolgere - e di conseguenza, mandare in crash - anche OE a partire dalla versione 5.0: il motivo, come noto, è che il client di e-mail di Microsoft si appoggia sul motore di IE.

Presso un link raggiungibile dall' advisory di SecuriTeam.com è possibile scaricare una e-mail contenente un file XBM malformato che manda in crash IE e OE. Attenzione: appena si clicca sul link il file ".eml" si aprirà in automatico causando la chiusura quasi immediata dei due programmi.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    il problema non è la carta e penna...
    io non ho nessuna antipatia verso la carta e penna e non vedo perché la PA dovrebbe pretendere che i suoi utenti debbano essere dotati di computer per essere serviti in modo rapido ed efficiente.quella che frattini propone è una obbligazione in mezzi, mentre quello che ci serve è una obbligazione in risultati.non me ne frega niente che il servizio me lo dai via pc o su un foglio di carta se alla fine funziona bene.e soprattutto non vedo proprio perché i cittadini dovrebbero essere obbligati ad usare un pc per essere serviti dalla PA, e questo detto da me che faccio il programmatore web, sto connesso ore al giorno e ho 4 desktop e due portatili. il mondo non siamo solo noi informatizzati.questo continuo riferimento alla carta e la penna sposta l'attenzione dal vero problema, che è quello dell'inefficienza intrinseca di quelle strutture, indipendentemente dai mezzi di cui vengono dotate a spese pubbliche. mezzi comprati da aziende che poi esprimono ministri in carica...
    • Anonimo scrive:
      Re: il problema non è la carta e penna...
      Complimenti,il suo è l'unico commento che condivido.Nel nostro paese la quantità di persone che trarrebbero beneficio da una P.A. on line per i documenti è certamente esigua e le attuali proporzioni potranno cambiare solo nel lungo periodo.Che inizino a fornirci la Gazzetta Ufficiale on-line e gratuitamente, visto che ognuno di noi è tenuto a conoscerne i contenuti; questo ci permetterebbe di essere dei cittadini migliori e cercare tra una documentazione in formato elettronico è sempre meno problematico che sulla corrispondente versione cartacea. Nel mio comune di residenza (Milano) i documenti posso già riceverli a casa con costi irrisori alzando la cornetta del telefono, ed inoltre la nostra privacy è al riparo da rischi ben noti che diventerebbero subito certezze.Ci illustrino on-line le procedure da seguire, dove e come rivolgerci, etc., magari sostituendo alla politica dei proclami quella dei contenuti e dei fatti sicuramente più utile al paese.
  • Anonimo scrive:
    Hanno chiuso l'AIPA
    e quale sara' la prossima ottima agenzia che verra' smantellata?
  • Anonimo scrive:
    Io vedo
    Una PA che distribuisce i suoi servizi direttamente nel mio cervello, dove un ricevitore UMTS al plutonio sara' installato e sempre attivo, con codici di identificazione e tutto quello che sono, che puo' essere letto da qualsiasi scanner pubblico.Vedo un mondo di totale sicurezza all'insegna dell'efficienza e della totale assenza di privacy.
  • Anonimo scrive:
    Italianamente prevenuto
    Lo so, sono prevenuto e dubbioso di natura, soprattutto con i proclami ottimisti che sulla carta funzionano alla perfezione, ma resto fondamentalmente convinto che il limite della P.A. sia non tanto economico o progettuale quanto proprio di approccio al sistema.Faccio l'esempio del mio comune e dei tre o quattro comuni confinanti:Ogni ufficio pullula di computer, con i quali le signorine scrivono le lettere, archiviano le pratiche, ricercano i ruoli esattoriali, insomma il comune viene gestito telematicamente e questo è un fiore all'occhiello per i sindaci e gli assessori responsabili che si fregiano del titolo di "comune all'avanguardia".Le nuove tecnologie, quelle delle quali si parla nell'articolo, però non sono queste. La nuova frontiera della pubblica amministrazione è l'aprirsi al cittadino/utente e consentire un rapporto con esso che sostituisca la presenza fisica con l'operatività a distanza.Perchè non posso iscrivere mio figlio all'asilo mediante una semplice form o addirittura una e-mail? Eppure il comune ha tutti i dati miei, dei miei figli, il mio numero di telefono e ogni altra informazione che dovesse servire.Invece no, serve la presenza fisica per compilare il modulo (a biro su una fotocopia fotocopiata da una fotocopia) e firmarlo.Perchè è così difficile se non impossibile accedere ad informazioni (per esempio un regolamento comunale) se non con l'accesso diretto agli uffici e con la gabella delle mille lire di diritti di segreteria per ogni fotocopia richiesta?E questi sono solo piccolissimissimissimi esempi di ciò che significa essere a disposizione del cittadino utilizzando le moderne tecnologie.Eppure le amministrazioni comunali sono più disposte a spendere centinaia di milioni per sostituire il parco computer (magari nemmeno tanto obsoleto) piuttosto che risparmiare (e far risparmiare) tempo agli impiegati e agli utenti dando la disponibilità delle informazioni per via telematica.Non sono qualunquista, anzi!Solo che per riammodernare la P.A. è imprescindibile partire dal riammodernamento delle persone. Se si capiscono i vantaggi e si impara a rapportarsi con la gente in maniera diversa dai feudalismi ereditati dal passato, allora si può procedere all'ammodernamento dei sistemi da utilizzare.A me invece pare che stiamo assistendo al processo contrario: prima si realizzano progetti e si stanziano risorse, ma a chi deve usarle queste risorse nessuno ci pensa.Temo solo che tutto finisca come le solite esperienze all'italiana, dove i progetti ed i finanziamenti distribuiscono soldi a tutti, ma alla fine nessuno trae giovamento.
    • Anonimo scrive:
      Re: Italianamente prevenuto

      Solo che per riammodernare la P.A. è
      imprescindibile partire dal riammodernamento
      delle persone. Se si capiscono i vantaggi e
      si impara a rapportarsi con la gente in
      maniera diversa dai feudalismi ereditati dal
      passato, allora si può procedere
      all'ammodernamento dei sistemi da
      utilizzare.è proprio quello il problema. Un pc lo cambi facilmente, il cervello autoritario e paternalistico dell'amministratore "old style" no. E quasi tutta l'amministrazione pubblica è cosi', cioe' autoritaria, per cui il cittadino e' alle dipendenze della burocrazia e non il contrario.Molta (troppa) strada rimane da fare.
    • Anonimo scrive:
      Re: Italianamente prevenuto
      X Stefano :)il tuo discorso è giusto solo che quello che tu chiedi a mio parere attualmente avrebbe costi pesantissimi per una pubblica amministrazioneBen dovresti sapere che tenere decetemente un server e farlo girare notte e giorno per accogliere utenza esterna ed essere allo stesso tempo in collegamento con un intranet non è cosa che si risolve con poco e richiede personale specializzato oltre che mezzi adeguatiPer ora credo che i pc negli uffici siano già buona cosa come ottimo è avere la carta d' identità in 10 minuti e tanti altri servizi.Per me è questione di tempo, certo anche noi cmq soffiramo del digital divide se guardiamo a cosa si fa negli USA via internet :)
      • Anonimo scrive:
        Re: Italianamente prevenuto

        il tuo discorso è giusto solo che quello che
        tu chiedi a mio parere attualmente avrebbe
        costi pesantissimi per una pubblica
        amministrazione
        Ben dovresti sapere che tenere decetemente
        un server e farlo girare notte e giorno per
        accogliere utenza esterna ed essere allo
        stesso tempo in collegamento con un intranet
        non è cosa che si risolve con poco e
        richiede personale specializzato oltre che
        mezzi adeguatiBasterebbe risparmiare milioni (di euro) sprecati a comprare computer nuovi quando i vecchi vanno benissimo e i miliardi (sempre di euro) regalati a Bill Gates per avere un Win nuovo ogni due anni.
        • Anonimo scrive:
          Re: Italianamente prevenuto
          - Scritto da: Garak
          Basterebbe risparmiare milioni (di euro)
          sprecati a comprare computer nuovi quando i
          vecchi vanno benissimo e i miliardi (sempre
          di euro) regalati a Bill Gates per avere un
          Win nuovo ogni due anni.a parte che nelle PA i mega computer io almeno non ne vedo, quanto a win io in molte amministrazioni vedo usare Win9x e WinMe NT e 2000 come da originale fornitura e sappiamo bene che adeguatamente aggiornati tali sys lavorano benisismo.Il fatto è che ci sono PA che negli appalti si fanno infinocchiare e PA che fanno affaroni ma questo è un discorso legato sopratutto alla preparazione informatica del personale della PA che si occupa di informatizzazione.Ecco perchè bisogna partire dalla formazione dell' impiego pubblico.Sull' alternativa di sys operativi il discorso cambia e ci si deve chiedere: esiste oggi una piattaforma compatibile ed userfriendly come Win o che sia reale alternativa a Win sotto tutti gli aspetti?La mia risposta (come utilizzatore di Linux e considerando le capacità informatiche dell' utente medio) è NO !Quindi non è questo il versate da attaccare.
          • Anonimo scrive:
            Re: Italianamente prevenuto

            Sull' alternativa di sys operativi il
            discorso cambia e ci si deve chiedere:
            esiste oggi una piattaforma compatibile ed
            userfriendly come Win o che sia reale
            alternativa a Win sotto tutti gli aspetti?Mac OSX.Saluti, Ryo Takatsuki
          • Anonimo scrive:
            Re: Italianamente prevenuto
            - Scritto da: Franco Bembo
            Sull' alternativa di sys operativi il
            discorso cambia e ci si deve chiedere:
            esiste oggi una piattaforma compatibile ed
            userfriendly come Win o che sia reale
            alternativa a Win sotto tutti gli aspetti?
            La mia risposta (come utilizzatore di Linux
            e considerando le capacità informatiche
            dell' utente medio) è NO !
            Quindi non è questo il versate da attaccare.la domanda non è quella.molte volte ho visto usare in uffici pubblici sw non proprio amichevoli, testuali etc.il discorso è sulla sicurezza ad es. dei dati (come può un sw proprietario proteggere dei dati se la p.a non può guardarvi dentro e sapere se ci sono bugs, spyware etc)?poi quello dell'accessibilitài formati devono essere liberi per far si che chiunque possa usare qualsiasi software per accedere ai dati.se word usasse un formato libero e documentato ecco che chiunque potrebbe usare il sw che più gli aggrada (anche per le sue tasche) per accedere a documenti che DEVONO essere accessibili a tutti!inoltre se il software è libero la pa può scegliere il proprio fornitore, perché può sceglierlo in base a ciò che offre e non perché è legata a certi fornitori che sono gli unici autorizzati a "mettere le mani" nei ptogrammi.questo è il VERO mercato libero e non monopolistico.
      • Anonimo scrive:
        Re: Italianamente prevenuto

        il tuo discorso è giusto solo che quello che
        tu chiedi a mio parere attualmente avrebbe
        costi pesantissimi per una pubblica
        amministrazione
        Ben dovresti sapere che tenere decetemente
        un server e farlo girare notte e giorno per
        accogliere utenza esterna ed essere allo
        stesso tempo in collegamento con un intranet
        non è cosa che si risolve con poco e
        richiede personale specializzato oltre che
        mezzi adeguatima dai... con qualche milione all'anno te la cavi... è che quando manca la buona volontà e ci sono squali speculatori in giro manca tutto.
    • Anonimo scrive:
      Re: Italianamente prevenuto
      Totalmente d'accordo!ciauz
    • Anonimo scrive:
      Re: Italianamente prevenuto

      Temo solo che tutto finisca come le solite
      esperienze all'italiana, dove i progetti ed
      i finanziamenti distribuiscono soldi a
      tutti, ma alla fine nessuno trae giovamento.oppure che si inizino progetti che poi verranno chiusi(mi pare che lo sportello unico per le imprese sarà chiuso entro il 2005)
    • Anonimo scrive:
      Re: Italianamente prevenuto

      Perchè non posso iscrivere mio figlio
      all'asilo mediante una semplice form o
      addirittura una e-mail? Eppure il comune havedi, una cosa del genere sarebbe un progettino che anche il piccolo comune potrebbe farsi in proprio dando poche centinaia di euro a qualche piccola struttura locale.ma quello che si vuole fare e prendere un botti di milioni di euro e darli a qualche grande gruppo economico, qualche grossa società tipo ibm dalla quale provengono ministri e aspirtanti tali, che non ha interesse a fare le piccole cose pratiche che servirebbero.hanno interesse a creare grandi infrastrutture che costano miliardi, quello sì.per le piccole cose che servono rassegnati a usare per sempre il modulo fotocopiato^n e rassegnati a vedere sempre e comunque vilipesa la libera iniziativa dei singoli e il decentramento, alla faccia dei proclami liberisti di questo governo pseudoliberista.
      Temo solo che tutto finisca come le solite
      esperienze all'italiana, dove i progetti ed
      i finanziamenti distribuiscono soldi a
      tutti, ma alla fine nessuno trae giovamento.esatto. solo che i soldi non sono distribuiti a tutti ma solo agli amici.
      • Anonimo scrive:
        Re: Italianamente prevenuto
        Le risposte preconfezionate potevate cmq evitarle.Infatti mi limito a ricordare solo al lettore che diceva che basta dare i servizi in affidamento a piccole società anzichè alla IBM o simila per risparmiare molti euro e avre rese migliori.Ora caro devi sapere che io lavoro in una pubblica amministrazione e devi sapere che in una gara di fornitura le Aziende locali ci hanno chiesto numeri considerevoli per servizi ridicoli. Tant' è che alal fine a conti fatti si è poi preferito spendere i soldi per formare il personale e gestire tutto in proprio ed abbiam pure risparmiato tanto.Abbiamo poi degli apparati in contratto assistenza con un Azienda locale che costa di più di un altro contratto che abbiamo con una grossa multinazionale con la differenza che l' azienda locale interviene sempre male e tardi.Quindi smettetela con questo luogo comune per favore.In Italia ci sono molte medio piccole aziende dell' IT che quanto a inefficenza e a inettitudine sono a livello della PA!!!!
        • Anonimo scrive:
          Re: Italianamente prevenuto
          - Scritto da: Franco Bembo
          Le risposte preconfezionate potevate cmq
          evitarle.
          Infatti mi limito a ricordare solo al
          lettore che diceva che basta dare i servizi
          in affidamento a piccole società anzichè
          alla IBM o simila per risparmiare molti euro
          e avre rese migliori.in genere quando leggo una risposta del genere dò del cretino a chi la scrive.mi trattengo e ti invito a leggere meglio quello che ho scritto.nessuno ha mai fatto l'equazione piccolo = per forza bello o piccolo = per forza bravo.semplicemente grosso = per forza costoso e imbalsamato. non solo, grosso = ministro.
          Ora caro devi sapere che io lavoro in una
          pubblica amministrazione e devi sapere che
          in una gara di fornitura le Aziende locali
          ci hanno chiesto numeri considerevoli per
          servizi ridicoli. e certo. finché la PA avrà l'anello al naso...
          Tant' è che alal fine a conti fatti si è poi
          preferito spendere i soldi per formare il
          personale e gestire tutto in proprio ed
          abbiam pure risparmiato tanto.bravi. era quello che dicevo io.
          Abbiamo poi degli apparati in contratto
          assistenza con un Azienda locale che costa
          di più di un altro contratto che abbiamo con
          una grossa multinazionale con la differenza
          che l' azienda locale interviene sempre
          male e tardi.mettete le aziende in concorrenza. l'occhio del padrone ingrassa il cavallo, ecc. ecc..imparate a gestire i vostri contenuti e prendete uno spazio in hosting da qualche parte... voglio dire, per le richieste di scrizione all'asilo e cose del genere, e che ci vuole...
    • Anonimo scrive:
      Re: Italianamente prevenuto
      Il problema è che tu puoi iscrivere tuo figlio all'asilo, ma quelli dell'asilo come sanno che sei stato tu? Semplicemente c'è bisogno di un certo numero di premesse come (per esempio) la firma elettronica. Questa deve naturalmente essere unica... non posso usare una firma per iscrivere il figlio all'asilo, un'altra per pagare le multe al comune e un'altra ancora per pagare le tasse!
  • Anonimo scrive:
    Magari
    Credo che tutte queste cose siano fattibili, anzi lo sarano sicuramene e già quei pochi casi di PA minimamente informatizzata ne vedono i primi timidi (manco tanto) risultati. Attendo con fiducia lo sviluppo che ancora manca.Non vedo ostacoli nel creare tutto questo, un occhio di riguardo per il problema sicurezza che sti worm non si sopportano più.ciuz
    • Anonimo scrive:
      Re: Magari
      Hai ragione, di fronte ad una valanga di promesse come queste si può solo dire ?magari!?Per principio non mi fido mai delle promesse degli uomini politici perché so che valgono assai poco. In questo caso però bisogna riconoscere che l?Italia è sempre stata lentissima nei cambiamenti, soprattutto in quelli a carattere tecnologico. Il telefonino? Ma quello è solo un giocattolo, anzi un giocattolo particolarmente utile per estendere ancor più il nostro sport nazionale: cianciare.Quante persone utilizzano Internet in Italia? Qualche milione, dicono le statistiche. Ma se da questa cifra si togliessero quelli che usano Internet per chattare, leggere l?oroscopo o scaricare le suonerie del telefonino resterebbero al massimo 500.000 persone. E se da queste si togliesse anche chi fa trading on line o legge gratis i quotidiani on line, quanti ne resterebbero? Pochi, davvero. Per questo le promesse dei politici sulla riforma della P.A. mi sembrano un sogno. A quanti semplici cittadini interessa veramente scaricare certificati on line? Pochi, credo. Non ha tutti i torti Frattini a dire che serve prima di tutto un cambiamento culturale, soprattutto da parte dei burocrati che, dopo industriali e politici, sono a tutti gli effetti gli uomini più potenti d?Italia. Purtroppo.Un saluto a tuttiVoltaire 2001
      • Anonimo scrive:
        Re: Magari

        Ma se da questa cifra si
        togliessero quelli che usano Internet per
        chattare, leggere l?oroscopo o scaricare le
        suonerie del telefonino resterebbero al
        massimo 500.000 persone. E se da queste si
        togliesse anche chi fa trading on line o
        legge gratis i quotidiani on line, quanti ne
        resterebbero? Pochi, davvero. Già che ci sei togli anche quelli che usano solo le mail, quelli che usano sono programmi di file-sharing, quelli che usano solo un browser(!), quelli che usano solo il game on-line e vedrai che non rimarrà più nessuno.Scusami ma che discorso e'!?!? E' ovvio che ognuno usa internet solo per quello che gli interessa e fino a quando non ci sono altri servizi ritenuti interessanti (o utili) continua ad usare internet solo per altro.Quando ci saranno servizi interessanti non ho dubbi che li useranno e l'informatizzazione della PA mi sembra un ottimo servizio.Non dubito neanche che quando mai si riusciranno a realizzare tutte le promesse molte persone che al momento non usano internet vorranno accedervi.E' già successo: ho amici e conoscenti che non hanno mai avuto interessi in internet fino a quando non hanno saputo che c'era un servizio per loro interessante: avvocati, medici, etc che nel chattare non hanno interesse ma quando sono partiti servizi come aggiornamenti e consultazioni di materiale riguardante la loro professione non hanno esistato a procurarsi un accesso ad internet e quasi sempre partendo direttamente da connessioni "abbastanza" veloci.
        • Anonimo scrive:
          Re: Magari
          Ha soltanto detto che la maggior parte degli italiani non ha la minima idea di che cosa si possa fare in una rete come Internet!Chattare, leggere l'oroscopo e scaricare suonerie per cellurali sono le tipiche cose che fa un deficiente che a malapena sa utilizzare il Windows che si ritrova nel suo bel Celeron pagato 5000? (convinto che fosse il massimo e pakkato dal negoziante).Questo vuol dire che tutti i servizi che saranno attivati per i cittadini saranno utilizzati da talmente poca gente che sarebbe meglio investire i soldi in altre opere... MAGARI insegnare come usare un sistema operativo e ad utilizzare la rete.
    • Anonimo scrive:
      Re: Magari

      Non vedo ostacoli nel creare tutto questo,
      un occhio di riguardo per il problema
      sicurezza che sti worm non si sopportano
      più.che c'entrano i worm? fai un esempio pratico.
      • Anonimo scrive:
        Re: Magari
        - Scritto da: lbo
        che c'entrano i worm? fai un esempio
        pratico.be', immagina se la prossima versione del Nimda non tocca solo qualche provider ma l'intera struttura dell'e-government basata su .NET !ciaogodz
Chiudi i commenti