Bug in Word, ASP.NET e IE

In tre fra i più diffusi software di Microsoft sono emerse alcune vulnerabilità di sicurezza. Le patch sono in arrivo. Ecco i dettagli
In tre fra i più diffusi software di Microsoft sono emerse alcune vulnerabilità di sicurezza. Le patch sono in arrivo. Ecco i dettagli


Internet – Negli scorsi giorni sono emerse alcune vulnerabilità di sicurezza in tre diffusi software di Microsoft : Office, ASP.NET e Internet Explorer.

La falla di Office interessa le versioni 2000 e 2002 di Word e consiste in un bug di tipo buffer overflow contenuto all’interno del codice che ha il compito di fare il parsing dei file. In un advisory Secunia ha spiegato che un cracker potrebbe creare un documento ad hoc che, una volta caricato in Word, mandi in crash l’applicazione.

La natura della vulnerabilità, che ha spinto Secunia a classificarla ad alto rischio, potrebbe consentire anche l’esecuzione di codice: tale eventualità non è però ancora stata dimostrata.

Microsoft, che ha sottolineato di non essere stata avvertita del problema prima che venisse reso pubblico, sta lavorando per rilasciare una patch in uno dei prossimi aggiornamenti mensili di sicurezza.

Il secondo e più grave problema di sicurezza riguarda la piattaforma ASP.NET, implementazione della tecnologia Active Server Page (ASP) di Microsoft. La vulnerabilità, a cui il colosso di Redmond ha già dedicato questa pagina del suo sito, potrebbe consentire ad un aggressore di bypassare le maschere di autenticazione sul Web e “vedere i contenuti protetti senza fornire le proprie credenziali”. Sebbene una patch vera e propria ancora non esista, Microsoft ha pubblicato un articolo tecnico e un modulo, chiamato ASP.Net ValidatePath (VPModule.msi) che può essere applicato a Internet Information Server 5.0, 5.1 o 6.0 per prevenire possibili attacchi via URL.

La vulnerabilità di Internet Explorer, scoperta dal celebre cacciatore di bug Georgi Guninski , ha un livello di pericolosità moderato e interessa tutte le versioni 5.x e 6.x di IE. Secunia ha spiegato in questo advisory che la falla, di tipo cross-site scripting, potrebbe consentire ad un cracker di accedere ad informazioni sensibili che l’utente ha trasmesso ad un sito Web. In attesa che Microsoft rilasci una patch, Secunia suggerisce di disattivare il supporto all’Active Scripting o di utilizzare un altro browser.

Link copiato negli appunti

Ti potrebbe interessare

10 10 2004
Link copiato negli appunti