Microsoft sigilla un buco in Outlook Express

Microsoft sigilla un buco in Outlook Express

L'azienda ha rilasciato una patch che va a correggere una grave vulnerabilità del suo client di e-mail che può essere sfruttata da cracker e autori di worm. Utenti di Outlook al sicuro
L'azienda ha rilasciato una patch che va a correggere una grave vulnerabilità del suo client di e-mail che può essere sfruttata da cracker e autori di worm. Utenti di Outlook al sicuro


Redmond (USA) – Nei giorni scorsi Microsoft ha rilasciato una patch che va a correggere un grave baco di sicurezza nel diffusissimo client e-mail Outlook Express (OE). La falla, descritta nel bollettino di sicurezza MS02-058 potrebbe consentire ad un aggressore di far girare sul sistema della vittima codice a propria scelta.

La vulnerabilità, che riguarda le versioni 5.5 e 6.0 di OE, consiste in un buffer overrun nel codice che implementa S/MIME (Secure/Multipurpose Internet Mail Extensions), uno standard per la sicurezza delle e-mail che consente agli utenti di spedire e ricevere messaggi criptati.

Microsoft ha spiegato come sia possibile, per un aggressore, creare una e-mail firmata digitalmente e inserirvi del codice malizioso: questo codice viene eseguito automaticamente nel momento in cui l’utente che ha ricevuto il messaggio lo apre o ne fa l’anteprima. Nel caso peggiore l’aggressore potrebbe riuscire a far girare sul computer della vittima del codice a propria scelta con gli stessi diritti dell’utente locale, mentre nel caso meno grave potrebbe verificarsi il crash di OE.

Microsoft afferma che la patch in grado di correggere questa falla è già stata integrata nel Service Pack 1 per Internet Explorer 6.0 ed in quello per Windows XP , di conseguenza gli utenti che hanno già installato uno di questi aggiornamenti sono immuni al problema. Per essere applicata ad OE 5.5 la patch richiede la previa installazione del Service Pack 2 per IE 5.5.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 ott 2002
Link copiato negli appunti