Breccia in Windows, sei spifferi in IE

Microsoft ha corretto quella che lei stessa definisce una delle più gravi vulnerabilità di Windows degli ultimi tempi: i PC a rischio potrebbero essere milioni. Rilasciata anche una megapatch per IE che corregge sei nuove falle


Redmond (USA) – Nel suo sessantacinquesimo bollettino di sicurezza dell’anno ( MS02-065 ) Microsoft descrive una grave falla contenuta nel Data Access Components (MDAC), un componente di Windows utilizzato da molti applicativi, fra cui Internet Information Server (IIS) e le più recenti versioni di Internet Explorer (IE), per accedere ai database.

Secondo Foundstone , la società di sicurezza che ha scoperto la vulnerabilità, sarebbero milioni i sistemi a rischio, sia server che client. La stessa Microsoft, che ha classificato la falla come “critical”, nel suo advisory ammette che “chiaramente, questa vulnerabilità è davvero seria, e Microsoft raccomanda a tutti i clienti i cui sistemi possano essere vulnerabili di prendere immediatamente adeguate misure”.

Il problema risiede in un buffer non verificato nel componente Remote Data Services (RDS) dell’MDAC. Un aggressore potrebbe essere in grado di sfruttare il buco di sicurezza da remoto ed eseguire del codice a sua scelta. Il più grosso rischio, secondo gli esperti di sicurezza di Foundstone e Microsoft, è dato dalla possibilità che la breccia venga sfruttata dai creatori di virus all’interno di un nuovo worm in grado di ripetere “le gesta” di vermicelli famosi come Code Red e Nimda.

Il problema affligge le versioni 2.1, 2.5 e 2.6 di MDAC, nonché IE 5.01, 5.5 e 6.0: in sintesi, sono a rischio quasi tutte le versioni di Windows tranne Windows XP, che nonostante integri IE 6.0, utilizza una nuova versione di MDAC non vulnerabile.

Le relative patch possono essere scaricate manualmente da qui o attraverso il Windows Update.

Microsoft ha recentemente rilasciato altri due bollettini di sicurezza: un aggiornamento all’ MS02-050 , che descrive e corregge una nuova variante della vulnerabilità “identity spoofing” che interessa i certificati digitali di Microsoft, e l’MS02-066, che fornisce il link ad una nuova patch cumulativa per IE 5x/6. Quest’ultima, oltre a comprendere tutti i bug fix fino ad oggi rilasciati per IE, corregge sei nuove falle di sicurezza. le più gravi delle quali classificate come “important”.

Con i nuovi advisory Microsoft ha adottato un nuovo sistema di valutazione delle vulnerabilità annunciato di recente: questo prevede l’introduzione di una quarta classe di rischio, “important”, che va ad affiancarsi a “low”, “moderate” e “critical”. Oltre a questo, Microsoft fornirà d’ora in avanti due differenti versioni dei propri bollettini di sicurezza: una nella tradizionale versione dettagliata, e pubblicata sul sito Technet , ed una in una nuova versione più sintetica e leggera, pubblicata invece sul sito Security .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Considerazione
    raga...ma chi ve lo fa fare di animarvi tanto ?se uscirà questo standard, nessuno vi impedirà di restarne fuori...mi spiego..anch'io tempo fa avevo pensato di fare dei DivX con audio mp3pro per aumentare un pò il bitrate video..quindi che c'è di male?se vi piace, usatelo, altrimenti passate ad altro standard...ciao
  • Anonimo scrive:
    SVEGLIAMOCI, PLEASE !
    Ragazzi ma ancora state dietro ad MPEG ???Sinceramente sono stufo di tutti questi cavilli per farci solo spendere soldi in royalities !Cercate qualcosa di megio, ad esempio THEORA (anche se non è ancora terminato)http://www.theora.org/Anzi, se vi dilettate di programmazione, date una mano !!!
    • Anonimo scrive:
      Re: SVEGLIAMOCI, PLEASE !
      Ma anke uno dei progetti nati in seno a Mayo.Fra l' altro sono perfettamente leggibili anke senza un decoder dedicato, dato ke basta avere quello x il DivX ;) 5.http://www.roeder.goe.net/~koepi/xvid.shtml
  • Anonimo scrive:
    le promesse dell'mp3 pro
    che ne pensate? a me e' sembrata una cavolata non appena e' uscito e mi pare di cattivo augurio questa mossa su mpeg4
  • Anonimo scrive:
    Mp3Pro: se lo conosci lo eviti
    Quando la tecnologia mp3pro e' stata presentata, circa un anno fa, ho scaricato il player/encoder e ho provato a codificare lo stesso pezzo in mp3 a 128 kb/s e in mp3pro a 64 kb/s, visto che il produttore sosteneva che la qualita' nei due casi era paragonabile.Sconsiglio caldamente l'operazione ai deboli di cuore: mp3pro a 64 kb/s e' quanto di peggio mi sia mai capitato di sentire.La cosa piu' sgradevole e' che le frequenze alte vengono prima brutalmente tagliate, e poi ricostruite in modo sintetico a partire dalle loro subarmoniche, col risultato di distruggere il timbro vero degli strumenti, e creare dei suoni assolutamente innaturali.Spero quindi vivamente che non rovinino anche l'AAC, che e' buon sistema di codifica audio, "contagiandolo" con le aberrazioni dell'mp3pro.Se qualcuno vuole far del male ai suoi timpani, puo' scaricare il player/encoder mp3pro da qui:http://www.thomson.net/gb/00/mp3.htmSalutiGiorgio
    • Anonimo scrive:
      Re: Mp3Pro: se lo conosci lo eviti
      ...Va beh ke i gusti son gusti, ma almeno avevi usato un player ke spportasse il formato?Io (ma anke altri ke conosco) uso l' MP3Pro senza alcun problema. A 64 o 96.
      • Anonimo scrive:
        Re: Mp3Pro: se lo conosci lo eviti
        L'ho provato anche io, e devo dire che i risultati sono stati pessimi. Ci sono formati migliori, vedi l'Ogg Vorbis.Speriamo che ci ripensino!
        • Anonimo scrive:
          Re: Mp3Pro: se lo conosci lo eviti
          Ci sono
          formati migliori, vedi l'Ogg Vorbis.si ma chi lo supporta ogg?
          • Anonimo scrive:
            Re: Mp3Pro: se lo conosci lo eviti
            - Scritto da: melania
            Ci sono

            formati migliori, vedi l'Ogg Vorbis.

            si ma chi lo supporta ogg?Winamp x esempio
          • Anonimo scrive:
            Re: Mp3Pro: se lo conosci lo eviti
            Windows:- Advanced WMA Workshop- Aeliom- Andromeda- Apollo general audio player- Ashampoo Media Player+- Audacity- Audio Conversion Wizard- Audiograbber- Blaze Media Pro- CD'n'Go!- CD-DA X-Tractor- CDex- Cool Edit Ogg Vorbis File Filter- Coolplayer- DJ Mix Lite- DJ Mix Pro- DJ-Workstation- DeliPlayer- Easy CD-DA Extractor- Fast CD Ripper- FreeRip MP3- GoldWave- Groove Mechanic- Konvertor- MP3 to All Converter- Media Jukebox- Mpxplay and AudioCV- MusiCutter- MyMP3- OGGer Magus- Oddcast DSP- Ogg Quicktime Components- Ogg Vorbis DirectShow Filters- OggDS Direct Show Filters- OggDropXPd- Peter's Plugins- QuakeForge- Quintessential Player- RipTrax- SIREN- SnackAmp player- Sonice- Sonique- Sound Forge- Soundprobe- Vorbis Extension- WinAmp- WinCD- WinDAC- XMPlay2- Zinf- dBpowerAMP- eTantrum PMA- tOGGerNon ti basta ?Dai un'occhio qua: http://www.vorbis.com/software.psp
          • Anonimo scrive:
            Re: Mp3Pro: se lo conosci lo eviti
            E da quando trovai il codec stand-alone (da distribuire: il Nimo non e' ke sia il max della praticita') posso usarlo pure io!!! ^_^Piuttosto voglio vedere ki supporta l' MP3Pro...(BTW, sara' ke a causa dei vicini tengo sempre il volume al lumicino, trovo cmq l' MP3Pro un ottimo formato).
Chiudi i commenti