Lotus 1-2-3, occhio ai documenti killer

Un allegato di posta creato ad hoc potrebbe innescare una grave vulnerabilità e consentire l'installazione di backdoor o trojan. IBM fornisce patch e workaround

Roma – La società di sicurezza Core Security ha scoperto nel viewer integrato in Lotus 1-2-3, notissimo foglio di calcolo di IBM , una seria vulnerabilità sfruttabile per compromettere la sicurezza di un PC con Windows.

La falla, descritta in questo advisory , interessa tutte le versioni ancora supportate di Lotus 1-2-3, incluse la 7.0 e la 8.0. È causata da un buffer overflow contenuto in Autonomy KeyView ( l123sr.dll ), un viewer di documenti integrato in Lotus 1-2-3.

“Per sfruttare con successo questa vulnerabilità un aggressore deve inviare ad un utente un allegato contenente un file Lotus 1-2-3 fatto in un certo modo, e l’utente deve fare doppio clic sul file per aprire l’allegato”, spiega IBM. Una volta aperto, il file con estensione “.123” potrebbe eseguire del codice maligno.

Sebbene i dettagli della debolezza non siano ancora pubblici, Core afferma che non è difficile, per un abile cracker, scoprire il problema e scrivere un exploit: la ragione è che quest’anno sono già stati scoperti diversi altri buffer overflow in KeyView del tutto simili a quello appena venuto alla luce.

IBM ha già sviluppato una patch per Lotus Notes 7.x e 8.x a disposizione dei clienti che contattano il servizio di supporto. In alternativa, l’advisory di Big Blue spiega come disattivare il viewer.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • pippo santanasta so scrive:
    Vogliono battere Apple??
    Basta vendere i brani (mp3 256k) a 49 centesimi e tutto il cd completo (formato iso) a 3/4 euro. Senza DRM di sorta.Garantita la vincita totale e milioni di brani scaricati legalmente....
  • FinalCut scrive:
    Quello che mi ha chiamato ladro?
    Doug Morris...? Morris.... Morris? a si! quello che ha chiamato "ladri" tutti i possessori di iPod!e dato che anche "io" possiedo un iPod (in famiglia ne abbiamo 3) mi ha chiamato 3 volte ladro... quello ******.... ora lo ricordo bene... quell'essere avido, raro esempio di come un uomo possa rendersi ridicolo e antipatico in un colpo solo...http://www.wired.com/entertainment/music/magazine/15-12/mf_morris(linux)(apple)PS: bel titolo, bell'articolo, complimenti sembra fatto apposta per generare Flame...
    • Dago Morris scrive:
      Re: Quello che mi ha chiamato ladro?
      "(in famiglia ne abbiamo 3)"Vantiamocene anche eh! ;)
      • FinalCut scrive:
        Re: Quello che mi ha chiamato ladro?
        - Scritto da: Dago Morris
        "(in famiglia ne abbiamo 3)"

        Vantiamocene anche eh! ;)di che cosa dovrei vergognarmi?uno in macchina fissouno lo usa la mia compagnauno lo uso io (in realtà è un iPhone)abbiamo circa 2000/3000 musiche di cui 200/300 acquistate su iTunes (la maggior parte DRM Free) tutte le altre provengono da vecchi CD acquistati in 30 anni + un 50/60 scaricate chissà dove (perché su iTunes non c'erano o c'erano solo quelle DRM)... quindi?
        • pippo scrive:
          Re: Quello che mi ha chiamato ladro?
          Un uomo che vive per la Apple, complimenti. Del resto Apple mi fa campare con Final Cut, per cui io divento fanatico e picchio tutti quelli che mettono a rischio la mia professione sollevando critiche sulla mia amata.(apple)
          • FinalCut scrive:
            Re: Quello che mi ha chiamato ladro?
            - Scritto da: pippo
            Un uomo che vive per la Apple, per 3 iPod in due persone? io al massimo mi chiamo "benestante"altrimenti vivrei anche per Sky, per la Telecom, per la società del gas, ecc...
            complimenti. Del
            resto Apple mi fa campare con Final Cut, per cuiprima usavamo AVID, con FinalCut abbiamo dimezzato i costi e aumentato la produttività... magari succedesse tutti i giorni!
            io divento fanatico e picchio tutti quelli che
            mettono a rischio la mia professione sollevando
            critiche sulla mia
            amata.ma anche no, e ti sfido a trovare miei post a sostegno delle tue farneticazioni.(linux)(apple)PS: il primo dei cuoricini ti suggerisce qualcosa?
  • Sgabbio scrive:
    Da che pulpito viene la predica
    come da titolo
Chiudi i commenti