Roma – Quasi contemporaneamente, e da diverse fonti, arriva la notizia che MSN Messenger e Internet Explorer sono afflitti da un baco che ne può causare il crash. Sebbene al momento nessuno di questi due bug sembra comportare rischi diretti per la sicurezza degli utenti, gli esperti temono che la facilità con cui possono essere sfruttati possa stuzzicare l’appetito dei ciber-vandali.
Il primo baco, quello di MSN Messenger, è stato descritto dalla risorsa MSFanatic.com e sembra riguardare tutte le più recenti versioni del noto sparamessaggini di Microsoft, incluso Windows Messenger. Il problema sarebbe legato ad un buffer overflow contenuto nella gestione delle intestazioni dei messaggi.
Come spiegato da MSNFanatic.com, il bug può essere sfruttato confezionando un messaggio ad hoc che contenga, nel campo riservato al font dell’intestazione di un messaggio, una stringa di caratteri che superi la capacità del buffer. Eccone un esempio:
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Times%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
%20New%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20
Roman%20%20%20%20%20%20%20%20%20%20%20; EF=B; CO=ff; CS=0; PF=22
Ciao, ecco un messaggio col botto
Come si può notare, nel campo "FN=Times", che specifica il tipo di font utilizzato nel messaggio, sono stati aggiunti una certa quantità di spazi (codificati con %20) che mandano in overflow il buffer e causano il crash di MSN Messenger.
"Questa falla è un grosso pericolo - commenta MSNFanatic.com - visto che non è così difficile, per un hacker (sic), usarla nelle proprie applicazioni".
Il bug non sembra affliggere Trillian, il noto sparamessaggini open source in grado di veicolare messaggi anche sulla rete di MSN. Lo scopritore della falla, un certo |M|K, sostiene di aver avvisato Microsoft del problema diverso tempo fa.
Su MSNFanatic.com è anche possibile scaricare, in attesa che Microsoft corregga il problema, un piccolo tool per proteggersi dal baco crasha-Messenger. Non provenendo da una fonte ufficiale, si consiglia di eseguire questo programma con le dovute cautele.
L'altro bug riguarda invece Internet Explorer e, in maniera indiretta, Outlook Express. Come descritto dalla società di sicurezza SecuriTeam.com, la vulnerabilità consiste in una errata gestione da parte di IE dei file grafici in formato XBM. Un cracker sarebbe infatti in grado di creare un file di questo tipo appositamente confezionato per mandare IE in crash e consumare una grande quantità di risorse di CPU e di memoria.
Il baco, presente in tutte le versioni di IE a partire dalla 5.5, è causato dal fatto che IE non controlla le dimensioni (larghezza e altezza) dell'immagine definita nel file XBM: in questo modo, secondo quanto spiegato da SecuriTeam.com, sarebbe possibile inserire nell'intestazione del file una dimensione a piacere che obblighi il browser a "tentare di allocare abbastanza memoria per un buffer troppo grande". La conseguenza, come detto, è il crash di IE ed il rapido consumo delle risorse di sistema (anche dopo il crash).
Il bug può coinvolgere - e di conseguenza, mandare in crash - anche OE a partire dalla versione 5.0: il motivo, come noto, è che il client di e-mail di Microsoft si appoggia sul motore di IE.
Presso un link raggiungibile dall' advisory di SecuriTeam.com è possibile scaricare una e-mail contenente un file XBM malformato che manda in crash IE e OE. Attenzione: appena si clicca sul link il file ".eml" si aprirà in automatico causando la chiusura quasi immediata dei due programmi.
-
Magari
Credo che tutte queste cose siano fattibili, anzi lo sarano sicuramene e già quei pochi casi di PA minimamente informatizzata ne vedono i primi timidi (manco tanto) risultati. Attendo con fiducia lo sviluppo che ancora manca.Non vedo ostacoli nel creare tutto questo, un occhio di riguardo per il problema sicurezza che sti worm non si sopportano più.ciuzRe: Magari
Hai ragione, di fronte ad una valanga di promesse come queste si può solo dire ?magari!?Per principio non mi fido mai delle promesse degli uomini politici perché so che valgono assai poco. In questo caso però bisogna riconoscere che l?Italia è sempre stata lentissima nei cambiamenti, soprattutto in quelli a carattere tecnologico. Il telefonino? Ma quello è solo un giocattolo, anzi un giocattolo particolarmente utile per estendere ancor più il nostro sport nazionale: cianciare.Quante persone utilizzano Internet in Italia? Qualche milione, dicono le statistiche. Ma se da questa cifra si togliessero quelli che usano Internet per chattare, leggere l?oroscopo o scaricare le suonerie del telefonino resterebbero al massimo 500.000 persone. E se da queste si togliesse anche chi fa trading on line o legge gratis i quotidiani on line, quanti ne resterebbero? Pochi, davvero. Per questo le promesse dei politici sulla riforma della P.A. mi sembrano un sogno. A quanti semplici cittadini interessa veramente scaricare certificati on line? Pochi, credo. Non ha tutti i torti Frattini a dire che serve prima di tutto un cambiamento culturale, soprattutto da parte dei burocrati che, dopo industriali e politici, sono a tutti gli effetti gli uomini più potenti d?Italia. Purtroppo.Un saluto a tuttiVoltaire 2001Re: Magari
> Ma se da questa cifra si> togliessero quelli che usano Internet per> chattare, leggere l?oroscopo o scaricare le> suonerie del telefonino resterebbero al> massimo 500.000 persone. E se da queste si> togliesse anche chi fa trading on line o> legge gratis i quotidiani on line, quanti ne> resterebbero? Pochi, davvero. Già che ci sei togli anche quelli che usano solo le mail, quelli che usano sono programmi di file-sharing, quelli che usano solo un browser(!), quelli che usano solo il game on-line e vedrai che non rimarrà più nessuno.Scusami ma che discorso e'!?!? E' ovvio che ognuno usa internet solo per quello che gli interessa e fino a quando non ci sono altri servizi ritenuti interessanti (o utili) continua ad usare internet solo per altro.Quando ci saranno servizi interessanti non ho dubbi che li useranno e l'informatizzazione della PA mi sembra un ottimo servizio.Non dubito neanche che quando mai si riusciranno a realizzare tutte le promesse molte persone che al momento non usano internet vorranno accedervi.E' già successo: ho amici e conoscenti che non hanno mai avuto interessi in internet fino a quando non hanno saputo che c'era un servizio per loro interessante: avvocati, medici, etc che nel chattare non hanno interesse ma quando sono partiti servizi come aggiornamenti e consultazioni di materiale riguardante la loro professione non hanno esistato a procurarsi un accesso ad internet e quasi sempre partendo direttamente da connessioni "abbastanza" veloci.Re: Magari
Ha soltanto detto che la maggior parte degli italiani non ha la minima idea di che cosa si possa fare in una rete come Internet!Chattare, leggere l'oroscopo e scaricare suonerie per cellurali sono le tipiche cose che fa un deficiente che a malapena sa utilizzare il Windows che si ritrova nel suo bel Celeron pagato 5000? (convinto che fosse il massimo e pakkato dal negoziante).Questo vuol dire che tutti i servizi che saranno attivati per i cittadini saranno utilizzati da talmente poca gente che sarebbe meglio investire i soldi in altre opere... MAGARI insegnare come usare un sistema operativo e ad utilizzare la rete.Re: Magari
> Non vedo ostacoli nel creare tutto questo,> un occhio di riguardo per il problema> sicurezza che sti worm non si sopportano> più.che c'entrano i worm? fai un esempio pratico.Re: Magari
- Scritto da: lbo> che c'entrano i worm? fai un esempio> pratico.be', immagina se la prossima versione del Nimda non tocca solo qualche provider ma l'intera struttura dell'e-government basata su .NET !ciaogodzItalianamente prevenuto
Lo so, sono prevenuto e dubbioso di natura, soprattutto con i proclami ottimisti che sulla carta funzionano alla perfezione, ma resto fondamentalmente convinto che il limite della P.A. sia non tanto economico o progettuale quanto proprio di approccio al sistema.Faccio l'esempio del mio comune e dei tre o quattro comuni confinanti:Ogni ufficio pullula di computer, con i quali le signorine scrivono le lettere, archiviano le pratiche, ricercano i ruoli esattoriali, insomma il comune viene gestito telematicamente e questo è un fiore all'occhiello per i sindaci e gli assessori responsabili che si fregiano del titolo di "comune all'avanguardia".Le nuove tecnologie, quelle delle quali si parla nell'articolo, però non sono queste. La nuova frontiera della pubblica amministrazione è l'aprirsi al cittadino/utente e consentire un rapporto con esso che sostituisca la presenza fisica con l'operatività a distanza.Perchè non posso iscrivere mio figlio all'asilo mediante una semplice form o addirittura una e-mail? Eppure il comune ha tutti i dati miei, dei miei figli, il mio numero di telefono e ogni altra informazione che dovesse servire.Invece no, serve la presenza fisica per compilare il modulo (a biro su una fotocopia fotocopiata da una fotocopia) e firmarlo.Perchè è così difficile se non impossibile accedere ad informazioni (per esempio un regolamento comunale) se non con l'accesso diretto agli uffici e con la gabella delle mille lire di diritti di segreteria per ogni fotocopia richiesta?E questi sono solo piccolissimissimissimi esempi di ciò che significa essere a disposizione del cittadino utilizzando le moderne tecnologie.Eppure le amministrazioni comunali sono più disposte a spendere centinaia di milioni per sostituire il parco computer (magari nemmeno tanto obsoleto) piuttosto che risparmiare (e far risparmiare) tempo agli impiegati e agli utenti dando la disponibilità delle informazioni per via telematica.Non sono qualunquista, anzi!Solo che per riammodernare la P.A. è imprescindibile partire dal riammodernamento delle persone. Se si capiscono i vantaggi e si impara a rapportarsi con la gente in maniera diversa dai feudalismi ereditati dal passato, allora si può procedere all'ammodernamento dei sistemi da utilizzare.A me invece pare che stiamo assistendo al processo contrario: prima si realizzano progetti e si stanziano risorse, ma a chi deve usarle queste risorse nessuno ci pensa.Temo solo che tutto finisca come le solite esperienze all'italiana, dove i progetti ed i finanziamenti distribuiscono soldi a tutti, ma alla fine nessuno trae giovamento.Re: Italianamente prevenuto
> Solo che per riammodernare la P.A. è> imprescindibile partire dal riammodernamento> delle persone. Se si capiscono i vantaggi e> si impara a rapportarsi con la gente in> maniera diversa dai feudalismi ereditati dal> passato, allora si può procedere> all'ammodernamento dei sistemi da> utilizzare.è proprio quello il problema. Un pc lo cambi facilmente, il cervello autoritario e paternalistico dell'amministratore "old style" no. E quasi tutta l'amministrazione pubblica è cosi', cioe' autoritaria, per cui il cittadino e' alle dipendenze della burocrazia e non il contrario.Molta (troppa) strada rimane da fare.Re: Italianamente prevenuto
X Stefano :)il tuo discorso è giusto solo che quello che tu chiedi a mio parere attualmente avrebbe costi pesantissimi per una pubblica amministrazioneBen dovresti sapere che tenere decetemente un server e farlo girare notte e giorno per accogliere utenza esterna ed essere allo stesso tempo in collegamento con un intranet non è cosa che si risolve con poco e richiede personale specializzato oltre che mezzi adeguatiPer ora credo che i pc negli uffici siano già buona cosa come ottimo è avere la carta d' identità in 10 minuti e tanti altri servizi.Per me è questione di tempo, certo anche noi cmq soffiramo del digital divide se guardiamo a cosa si fa negli USA via internet :)Re: Italianamente prevenuto
> il tuo discorso è giusto solo che quello che> tu chiedi a mio parere attualmente avrebbe> costi pesantissimi per una pubblica> amministrazione> Ben dovresti sapere che tenere decetemente> un server e farlo girare notte e giorno per> accogliere utenza esterna ed essere allo> stesso tempo in collegamento con un intranet> non è cosa che si risolve con poco e> richiede personale specializzato oltre che> mezzi adeguatiBasterebbe risparmiare milioni (di euro) sprecati a comprare computer nuovi quando i vecchi vanno benissimo e i miliardi (sempre di euro) regalati a Bill Gates per avere un Win nuovo ogni due anni.Re: Italianamente prevenuto
- Scritto da: Garak> Basterebbe risparmiare milioni (di euro)> sprecati a comprare computer nuovi quando i> vecchi vanno benissimo e i miliardi (sempre> di euro) regalati a Bill Gates per avere un> Win nuovo ogni due anni.a parte che nelle PA i mega computer io almeno non ne vedo, quanto a win io in molte amministrazioni vedo usare Win9x e WinMe NT e 2000 come da originale fornitura e sappiamo bene che adeguatamente aggiornati tali sys lavorano benisismo.Il fatto è che ci sono PA che negli appalti si fanno infinocchiare e PA che fanno affaroni ma questo è un discorso legato sopratutto alla preparazione informatica del personale della PA che si occupa di informatizzazione.Ecco perchè bisogna partire dalla formazione dell' impiego pubblico.Sull' alternativa di sys operativi il discorso cambia e ci si deve chiedere: esiste oggi una piattaforma compatibile ed userfriendly come Win o che sia reale alternativa a Win sotto tutti gli aspetti?La mia risposta (come utilizzatore di Linux e considerando le capacità informatiche dell' utente medio) è NO !Quindi non è questo il versate da attaccare.Re: Italianamente prevenuto
> il tuo discorso è giusto solo che quello che> tu chiedi a mio parere attualmente avrebbe> costi pesantissimi per una pubblica> amministrazione> Ben dovresti sapere che tenere decetemente> un server e farlo girare notte e giorno per> accogliere utenza esterna ed essere allo> stesso tempo in collegamento con un intranet> non è cosa che si risolve con poco e> richiede personale specializzato oltre che> mezzi adeguatima dai... con qualche milione all'anno te la cavi... è che quando manca la buona volontà e ci sono squali speculatori in giro manca tutto.Re: Italianamente prevenuto
Totalmente d'accordo!ciauzRe: Italianamente prevenuto
> Temo solo che tutto finisca come le solite> esperienze all'italiana, dove i progetti ed> i finanziamenti distribuiscono soldi a> tutti, ma alla fine nessuno trae giovamento.oppure che si inizino progetti che poi verranno chiusi(mi pare che lo sportello unico per le imprese sarà chiuso entro il 2005)Re: Italianamente prevenuto
> Perchè non posso iscrivere mio figlio> all'asilo mediante una semplice form o> addirittura una e-mail? Eppure il comune havedi, una cosa del genere sarebbe un progettino che anche il piccolo comune potrebbe farsi in proprio dando poche centinaia di euro a qualche piccola struttura locale.ma quello che si vuole fare e prendere un botti di milioni di euro e darli a qualche grande gruppo economico, qualche grossa società tipo ibm dalla quale provengono ministri e aspirtanti tali, che non ha interesse a fare le piccole cose pratiche che servirebbero.hanno interesse a creare grandi infrastrutture che costano miliardi, quello sì.per le piccole cose che servono rassegnati a usare per sempre il modulo fotocopiato^n e rassegnati a vedere sempre e comunque vilipesa la libera iniziativa dei singoli e il decentramento, alla faccia dei proclami liberisti di questo governo pseudoliberista.> Temo solo che tutto finisca come le solite> esperienze all'italiana, dove i progetti ed> i finanziamenti distribuiscono soldi a> tutti, ma alla fine nessuno trae giovamento.esatto. solo che i soldi non sono distribuiti a tutti ma solo agli amici.Re: Italianamente prevenuto
Le risposte preconfezionate potevate cmq evitarle.Infatti mi limito a ricordare solo al lettore che diceva che basta dare i servizi in affidamento a piccole società anzichè alla IBM o simila per risparmiare molti euro e avre rese migliori.Ora caro devi sapere che io lavoro in una pubblica amministrazione e devi sapere che in una gara di fornitura le Aziende locali ci hanno chiesto numeri considerevoli per servizi ridicoli. Tant' è che alal fine a conti fatti si è poi preferito spendere i soldi per formare il personale e gestire tutto in proprio ed abbiam pure risparmiato tanto.Abbiamo poi degli apparati in contratto assistenza con un Azienda locale che costa di più di un altro contratto che abbiamo con una grossa multinazionale con la differenza che l' azienda locale interviene sempre male e tardi.Quindi smettetela con questo luogo comune per favore.In Italia ci sono molte medio piccole aziende dell' IT che quanto a inefficenza e a inettitudine sono a livello della PA!!!!Re: Italianamente prevenuto
- Scritto da: Franco Bembo> Le risposte preconfezionate potevate cmq> evitarle.> Infatti mi limito a ricordare solo al> lettore che diceva che basta dare i servizi> in affidamento a piccole società anzichè> alla IBM o simila per risparmiare molti euro> e avre rese migliori.in genere quando leggo una risposta del genere dò del cretino a chi la scrive.mi trattengo e ti invito a leggere meglio quello che ho scritto.nessuno ha mai fatto l'equazione piccolo = per forza bello o piccolo = per forza bravo.semplicemente grosso = per forza costoso e imbalsamato. non solo, grosso = ministro.> Ora caro devi sapere che io lavoro in una> pubblica amministrazione e devi sapere che> in una gara di fornitura le Aziende locali> ci hanno chiesto numeri considerevoli per> servizi ridicoli. e certo. finché la PA avrà l'anello al naso...> Tant' è che alal fine a conti fatti si è poi> preferito spendere i soldi per formare il> personale e gestire tutto in proprio ed> abbiam pure risparmiato tanto.bravi. era quello che dicevo io.> Abbiamo poi degli apparati in contratto> assistenza con un Azienda locale che costa> di più di un altro contratto che abbiamo con> una grossa multinazionale con la differenza> che l' azienda locale interviene sempre> male e tardi.mettete le aziende in concorrenza. l'occhio del padrone ingrassa il cavallo, ecc. ecc..imparate a gestire i vostri contenuti e prendete uno spazio in hosting da qualche parte... voglio dire, per le richieste di scrizione all'asilo e cose del genere, e che ci vuole...Re: Italianamente prevenuto
Il problema è che tu puoi iscrivere tuo figlio all'asilo, ma quelli dell'asilo come sanno che sei stato tu? Semplicemente c'è bisogno di un certo numero di premesse come (per esempio) la firma elettronica. Questa deve naturalmente essere unica... non posso usare una firma per iscrivere il figlio all'asilo, un'altra per pagare le multe al comune e un'altra ancora per pagare le tasse!Io vedo
Una PA che distribuisce i suoi servizi direttamente nel mio cervello, dove un ricevitore UMTS al plutonio sara' installato e sempre attivo, con codici di identificazione e tutto quello che sono, che puo' essere letto da qualsiasi scanner pubblico.Vedo un mondo di totale sicurezza all'insegna dell'efficienza e della totale assenza di privacy.Hanno chiuso l'AIPA
e quale sara' la prossima ottima agenzia che verra' smantellata?Re: Hanno chiuso l'AIPA
http://www.aipa.it/Veramente a me sembra che ci sia ancora...il problema non è la carta e penna...
io non ho nessuna antipatia verso la carta e penna e non vedo perché la PA dovrebbe pretendere che i suoi utenti debbano essere dotati di computer per essere serviti in modo rapido ed efficiente.quella che frattini propone è una obbligazione in mezzi, mentre quello che ci serve è una obbligazione in risultati.non me ne frega niente che il servizio me lo dai via pc o su un foglio di carta se alla fine funziona bene.e soprattutto non vedo proprio perché i cittadini dovrebbero essere obbligati ad usare un pc per essere serviti dalla PA, e questo detto da me che faccio il programmatore web, sto connesso ore al giorno e ho 4 desktop e due portatili. il mondo non siamo solo noi informatizzati.questo continuo riferimento alla carta e la penna sposta l'attenzione dal vero problema, che è quello dell'inefficienza intrinseca di quelle strutture, indipendentemente dai mezzi di cui vengono dotate a spese pubbliche. mezzi comprati da aziende che poi esprimono ministri in carica...Re: il problema non è la carta e penna...
Complimenti,il suo è l'unico commento che condivido.Nel nostro paese la quantità di persone che trarrebbero beneficio da una P.A. on line per i documenti è certamente esigua e le attuali proporzioni potranno cambiare solo nel lungo periodo.Che inizino a fornirci la Gazzetta Ufficiale on-line e gratuitamente, visto che ognuno di noi è tenuto a conoscerne i contenuti; questo ci permetterebbe di essere dei cittadini migliori e cercare tra una documentazione in formato elettronico è sempre meno problematico che sulla corrispondente versione cartacea. Nel mio comune di residenza (Milano) i documenti posso già riceverli a casa con costi irrisori alzando la cornetta del telefono, ed inoltre la nostra privacy è al riparo da rischi ben noti che diventerebbero subito certezze.Ci illustrino on-line le procedure da seguire, dove e come rivolgerci, etc., magari sostituendo alla politica dei proclami quella dei contenuti e dei fatti sicuramente più utile al paese.Re: il problema non è la carta e penna...
e la carta igienica dove la mettiamo?Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti06 05 2002
Link copiato negli appuntiTi potrebbe interessare
06 05 2002Link copiato negli appunti
