Falla critica per Office 2007

La società di sicurezza eEye ha scoperto in Publisher 2007 una vulnerabilità che potrebbe consentire l'esecuzione di codice contenuto all'interno di un documento malformato. Scovata una falla anche in Windows XP SP2

Aliso Viejo (USA) – Dopo essere riuscito dribblare le vulnerabilità recentemente scoperte nei suoi predecessori, Office 2007 si trova ora a fronteggiare quello che eEye Digital Security considera il primo grave problema di sicurezza della nuova suite. Si tratta di una falla legata al modo in cui Publisher 2007 gestisce il proprio formato dei documenti (.pub).

Come spesso accade quando il problema interessa il parsing dei documenti, un aggressore potrebbe creare un file ad hoc che, una volta aperto dall’utente, sfrutta il bug per eseguire del codice dannoso . Tale file potrebbe essere inglobato in una pagina web oppure allegato ad una email.

“Siamo rimasti sorpresi dall’aver scoperto una falla così in fretta (a circa quattro settimane dal debutto consumer di Office 2007, NdR) e in uno dei prodotti chiave della suite”, ha affermato Ross Brown, CEO di eEye. Il ricercatore ha anche aggiunto di aver utilizzato un processo di code auditing standard per trovare il bug, segno che “Microsoft non sembra aver fatto un buon lavoro nella verifica del proprio codice, oppure era a corto di personale da dedicare a questa operazione”.

Microsoft ha fatto sapere di aver ricevuto la segnalazione di eEye e di stare investigando sulla natura e la portata del problema.

Negli scorsi giorni un ricercatore di sicurezza italiano noto come “shinnai” ha pubblicato un advisory in cui porta alla luce una vulnerabilità nel controllo ActiveX Microsoft Windows Shell User Logon di Windows XP SP2.

L’advisory spiega che un malintenzionato potrebbe confezionare un file HTML contenente un richiamo a shgina.dll che, quando aperto dall’utente, aggiunge automaticamente al sistema un account con privilegi limitati. Va sottolineato che, in Internet Explorer 6 e 7, l’utente deve espressamente autorizzare l’esecuzione del controllo ActiveX. Sebbene il bug possa essere sfruttato solo in locale, shina ha invitato la comunità degli esperti di sicurezza a “non sottovalutare il problema”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Ma perchè non a 3,5?
    Ma perchè stanno sviluppando solamente nella direzione dei 2,5 solamente con l'idea di sostituire gli hd dei notebook? Se hanno riaggiunto questo livello (160GB) con quelle dimensioni dovrebbe essere ormai relativamente semplice e più "economico" proporre hd allo stato solido da 3,5 per i pc desktop. Inoltre nei pc da tavolo ci si può infilare dentro qualsiasi cosa, anche di più grosse dimensioni di 3,5 pollici... non potrebbero già proporre qualche soluzione a buon prezzo?
    • MeDevil scrive:
      Re: Ma perchè non a 3,5?
      - Scritto da:
      Ma perchè stanno sviluppando solamente nella
      direzione dei 2,5 solamente con l'idea di
      sostituire gli hd dei notebook? Se hanno
      riaggiunto questo livello (160GB) con quelle
      dimensioni dovrebbe essere ormai relativamente
      semplice e più "economico" proporre hd allo stato
      solido da 3,5 per i pc desktop. Inoltre nei pc da
      tavolo ci si può infilare dentro qualsiasi cosa,
      anche di più grosse dimensioni di 3,5 pollici...
      non potrebbero già proporre qualche soluzione a
      buon
      prezzo?Che senso avrebbe per la stragrande maggioranza di utenti comprare un disco a stato solido quando con un minor costo ti puoi fare 2-3 dischi sata/pata delle stesse dimensioni? ;)Saluti, MeDevil
      • Anonimo scrive:
        Re: Ma perchè non a 3,5?
        - Scritto da: MeDevil
        Che senso avrebbe per la stragrande maggioranza
        di utenti comprare un disco a stato solido quando
        con un minor costo ti puoi fare 2-3 dischi
        sata/pata delle stesse dimensioni?
        ;)

        Saluti, MeDevil...beh, penso per questioni di prestazioni e sicurezza del dato. Ormai le prestazioni dei dischi tradizionali sono arrivate quasi al limite mentre il margine prestazionale in termini di lettura/scrittua/accesso di una memoria flash è senz'altro migliore e con un buon margine di miglioramento. Inoltre, per la natura meccanica dei dischi tradizionali, si risolverebbero i numerosi problemi di affidabilità di cui soffrono.
        • nattu_panno_dam scrive:
          Re: Ma perchè non a 3,5?
          - Scritto da:

          - Scritto da: MeDevil


          Che senso avrebbe per la stragrande maggioranza

          di utenti comprare un disco a stato solido
          quando

          con un minor costo ti puoi fare 2-3 dischi

          sata/pata delle stesse dimensioni?

          ;)



          Saluti, MeDevil


          ...beh, penso per questioni di prestazioni e
          sicurezza del dato. Ormai le prestazioni dei
          dischi tradizionali sono arrivate quasi al limite
          mentre il margine prestazionale in termini di
          lettura/scrittua/accesso di una memoria flash è
          senz'altro migliore e con un buon margine di
          miglioramento. Inoltre, per la natura meccanica
          dei dischi tradizionali, si risolverebbero i
          numerosi problemi di affidabilità di cui
          soffrono.Bah, in caso di NAS/storage l' hard disk tradizionale è insostituibile per adesso. Non dimenticare poi che memorie di quel tipo hanno clicli di scrittura molto piu' bassi rispetto ad un hd.
        • Clax scrive:
          Re: Ma perchè non a 3,5?
          Sull'affidabilità ho da obiettare: tieni presente che un raid 5 con 3 dischi meccanici (circa la stessa spesa) è sicuramente molto + affidabile di un unico disco di nuova generazione.Si tratta sempre di macchine comunque non indistruttibili. Se in un raid 5 si rompe 1 disco il sistema continua a funzionare ed hai il tempo di sostituire il disco rotto. Viceversa se usi un solo disco anche se supertecnologico, se si rompe, addio dati!!!Usando solo 2 dischi in mirror si arriva addirittura a risparmiare soldi conservando un'affidabilità alta (ma stessa capacità)!two is megl' che one! :)Ovviamente la mia opinione è espressa un po' alla buona non conoscendo esattamente i prezzi del momento.Ciao
    • avvelenato scrive:
      Re: Ma perchè non a 3,5?
      - Scritto da:
      Ma perchè stanno sviluppando solamente nella
      direzione dei 2,5 solamente con l'idea di
      sostituire gli hd dei notebook? Se hanno
      riaggiunto questo livello (160GB) con quelle
      dimensioni dovrebbe essere ormai relativamente
      semplice e più "economico" proporre hd allo stato
      solido da 3,5 per i pc desktop. Inoltre nei pc da
      tavolo ci si può infilare dentro qualsiasi cosa,
      anche di più grosse dimensioni di 3,5 pollici...
      non potrebbero già proporre qualche soluzione a
      buon
      prezzo?le dimensioni dipendono dalle tecnologie litografiche impiegate, per il numero dei chip usati.Se usano 32 chip da 40gbit l'uno, lo spazio richiesto sarà quello di un 2,5". Produrlo a 3.5" non sarebbe più economico affatto.
  • PedroMaltese scrive:
    Affidabile?
    Qualcuno ha sollevato dubbi sulla capacità delle memorie allo stato solido di reggere a un elevato numero di riletture e riscritture. Capacità che i normali dischi fissi hanno.A quanto pare non è un vero problema se li definiscono anche "più affidabili".
    • Anonimo scrive:
      Re: Affidabile?
      - Scritto da: PedroMaltese
      Qualcuno ha sollevato dubbi sulla capacità delle
      memorie allo stato solido di reggere a un elevato
      numero di riletture e riscritture. Capacità che i
      normali dischi fissi
      hanno.
      A quanto pare non è un vero problema se li
      definiscono anche "più
      affidabili".oddio, io non li userei per lo swap o cose del genere...come storage vanno benissimo però.io ho una cartuccia IDE da 1Gb utilizzata solo per l'OS sulla mia mediastation, con installata Linux MythTv...fa il boot in 3 sec. ;)ciao(linux)
      • PedroMaltese scrive:
        Re: Affidabile?

        oddio, io non li userei per lo swap o cose del
        genere...
        come storage vanno benissimo però.
        io ho una cartuccia IDE da 1Gb utilizzata solo
        per l'OS sulla mia mediastation, con installata
        Linux
        MythTv...
        fa il boot in 3 sec. ;)

        ciao
        (linux)Interessante.Costo?
        • Anonimo scrive:
          Re: Affidabile?
          - Scritto da: PedroMaltese


          oddio, io non li userei per lo swap o cose del

          genere...

          come storage vanno benissimo però.

          io ho una cartuccia IDE da 1Gb utilizzata solo

          per l'OS sulla mia mediastation, con installata

          Linux

          MythTv...

          fa il boot in 3 sec. ;)



          ciao

          (linux)

          Interessante.
          Costo?abbastanza contenuto.io spesi 65 euro ma ora i prezzi sono calati:http://www.mini-itx.it/index.php?cPath=25ah, come opzione si potrebbe pure usare una chiavetta usb, ma il transfert rate e l'affidabilità ne sconsigliano l'utilizzo...per provare (la dist dell'OS) però non è male come opzione...bye(linux)
      • Anonimo scrive:
        Re: Affidabile?
        - Scritto da:

        - Scritto da: PedroMaltese

        Qualcuno ha sollevato dubbi sulla capacità delle

        memorie allo stato solido di reggere a un
        elevato

        numero di riletture e riscritture. Capacità che
        i

        normali dischi fissi

        hanno.

        A quanto pare non è un vero problema se li

        definiscono anche "più

        affidabili".

        oddio, io non li userei per lo swap o cose del
        genere...
        come storage vanno benissimo però.
        io ho una cartuccia IDE da 1Gb utilizzata solo
        per l'OS sulla mia mediastation, con installata
        Linux
        MythTv...
        fa il boot in 3 sec. ;)

        ciao
        (linux)Ho installato linux proprio ieri, devo dire proprio una bella perdita di tempo!
        • Anonimo scrive:
          Re: Affidabile?

          Ho installato linux proprio ieri, devo dire
          proprio una bella perdita di
          tempo!
          e pensa se spendevi 600 euro per scoprire che non ti piaceva!anche per questo,grazie GNU/Linux! :Dciao(linux)
  • Anonimo scrive:
    FANTASTICO
    tra un annetto avremo finalmente notebook completamente allo stato solido e con schermi a led , io eliminerei anche l'ultima parte in movimento (il dvd)
    • avvelenato scrive:
      Re: FANTASTICO
      - Scritto da:
      tra un annetto avremo finalmente notebook
      completamente allo stato solido e con schermi a
      led , io eliminerei anche l'ultima parte in
      movimento (il
      dvd)
      Ci sono già.
    • Anonimo scrive:
      Re: FANTASTICO

      io eliminerei anche l'ultima parte in movimento (il dvd)Bravo, e poi però comprati il lettore a disco a parte. Oppure dai i tuoi soldi ai ladroni della distribuzione online.
  • Anonimo scrive:
    Ehm... ma i dindi?
    Scusassemi tanto ma al momento con un centone mi porto a casa un sata da 300 giga.il 160 allo stato solido per quanti pezzi da otto me lo mollano?
    • Anonimo scrive:
      Re: Ehm... ma i dindi?
      - Scritto da:
      Scusassemi tanto ma al momento con un centone mi
      porto a casa un sata da 300
      giga.
      il 160 allo stato solido per quanti pezzi da otto
      me lo
      mollano?non si sa in effeti il prezzo, stavo cercando in rete, ma temo tanto si parli di migliaia di $....
    • Anonimo scrive:
      Re: Ehm... ma i dindi?
      - Scritto da:
      Scusassemi tanto ma al momento con un centone mi
      porto a casa un sata da 300
      giga.
      il 160 allo stato solido per quanti pezzi da otto
      me lo
      mollano?Beh, dipende... una bella ipoteca sulla casa e te lo porti via... (rotfl)(rotfl)(rotfl)
    • avvelenato scrive:
      Re: Ehm... ma i dindi?
      - Scritto da:
      Scusassemi tanto ma al momento con un centone mi
      porto a casa un sata da 300
      giga.
      il 160 allo stato solido per quanti pezzi da otto
      me lo
      mollano?Non molto tempo fa fece notizia l'opzione samsung o non so cosa di offrire con un suo portatile un disco solid state da 32 gb a "soli" 600 euro in più.Fatti te il conto.Ovvio che 'ste cose non sono destinate a te, o a me, ma a chi lavora in ambiti mission critical in condizioni di stress fisico insopportabile dai dischi normali, e/o in caso di risorse energetiche molto scarse, mi viene in mente il settore militare, l'aeronautico e lo spaziale, e altri ambiti critici.
      • Anonimo scrive:
        Re: Ehm... ma i dindi?
        tecnologia nuova.. costa ancora un botto.. amn mano che prenderà piede i costi caleranno :)
        • avvelenato scrive:
          Re: Ehm... ma i dindi?
          - Scritto da:
          tecnologia nuova.. costa ancora un botto.. amn
          mano che prenderà piede i costi caleranno
          :)Non è solo una questione di prender piede. 160gb di flash nand sono parecchi mm2 di silicio litografati con processi produttivi avanzati. Man mano che le tecniche litografiche nell'industria del silicio miglioreranno, l'integrazione aumenterà e conseguentemente i costi al gb. Anche se sotto i 45nm si dovranno inventare cose parecchio strane per andare, visto che si è ai limiti del silicio.Ovviamente anche l'impiego esteso aiuterà, come ha dimostrato il tremendo calo di prezzi della flash conseguente alla commercializzazione dell'ipod nano.
          • nattu_panno_dam scrive:
            Re: Ehm... ma i dindi?
            E' anche vero che i moduli ram sono sempre parecchio gonfiati già al produttore. In una fonderia il costo lo si ha sulla catena di produzione (costruzione e manutenzione), una volta pagata quella, i costi dovrebbero avere un ribasso molto incisivo, ma questo non avviene mai, soprattutto per componenti con un'alta domanda.
          • avvelenato scrive:
            Re: Ehm... ma i dindi?
            - Scritto da: nattu_panno_dam
            E' anche vero che i moduli ram sono sempre
            parecchio gonfiati già al produttore. In una
            fonderia il costo lo si ha sulla catena di
            produzione (costruzione e manutenzione),dimentichi i costi ingegneristici e intellettuali.Ma sono anch'essi "una tantum", il tuo discorso non cambia di molto
            una
            volta pagata quella, i costi dovrebbero avere un
            ribasso molto incisivo, ma questo non avviene
            mai, soprattutto per componenti con un'alta
            domanda.
            Non avviene anche perché l'inflazione dell'hw è talmente rapida che è necessario premunirsi di un certo margine, inoltre i rischi in gioco sono parecchi, basta investire su di uno standard sbagliato e si smenano parecchi milioni (do you remember rambus?), infine la concorrenza spietata implica reinvestimenti lampo.Tutte cose che sarebbe bello avvenissero in italia, ma sognare è un conto, la realtà purtroppo è ben diversa....
    • Anonimo scrive:
      Re: Ehm... ma i dindi?
      - Scritto da:
      il 160 allo stato solido per quanti pezzi da otto me lo mollano?Hehehe! ottima citazione![img]http://bonusweb.idnes.cz/obrazek/guybrush_2.jpg[/img]
  • Anonimo scrive:
    Quali sono le reali performance?
    Sto cercando, ma sul sito loro non è che ci sono test "su strada" o comparativi.Soprattutto riguardo tempi di accesso, durata reale, ecc...
Chiudi i commenti