Redmond (USA) – Alcuni esperti di sicurezza hanno recentemente lanciato l’allarme per quella che considerano una delle più gravi vulnerabilità di sicurezza emerse in Passport, il noto servizio di autenticazione sul Web di Microsoft.
Secondo quanto descritto in un messaggio apparso sulla mailing-list di sicurezza Full Disclosure , la falla interessa – o meglio, interessava, visto che Microsoft avverte di aver già tappato il buco – il meccanismo di recupero delle password che Passport mette a disposizione degli utenti più” distratti”.
Secondo il post, un aggressore avrebbe potuto sfruttare la debolezza per cambiare la password di qualsiasi account di cui conosca il nome utente: in questo modo il malintenzionato avrebbe potuto autenticarsi nel servizio con la nuova password e rubare tutte le informazioni dell’utente che ha creato l’account, incluso l’eventuale numero di carta di credito.
L’esperto di sicurezza che ha divulgato il baco sostiene che la semplicità con cui l’attacco poteva essere portato a termine faceva di questa vulnerabilità un problema molto serio, soprattutto considerando la grande diffusione di Passport.
Della gravità della situazione si è resa conto la stessa Microsoft che, nel giro di sole tre ore dalla pubblicazione dell’advisory, ha provveduto a bloccare la funzionalità a rischio così da impedire l’azzeramento delle password attraverso l’invio al server di una URL malevola: questa è infatti la tecnica che, secondo alcuni esperti, era già stata utilizzata da uno o più cracker per ingannare il sistema e ricevere, nella propria mailbox, un link attraverso cui poter modificare la password di altri utenti.
Il team di sicurezza di Microsoft si è detto al lavoro per riprogettare il sistema di recupero delle password in modo che non sia più vulnerabile a questo tipo di attacchi.
-
UHAUHAUHAUAHUAHUHA
Un aggressore può sfruttare il bug del WMP "per piazzare un file mascherato da skin in una locazione conosciuta della macchina dell'utente", ad esempio nella cartella Esecuzione automatica. Il file può consistere in uno script o in un qualsiasi altro tipo di eseguibile malevolo.ma si può...?AnonimoRe: UHAUHAUHAUAHUAHUHA
- Scritto da: Anonimo> ma si può...?Con chi spende piu un marketing che sviluppo si puo' questo ed altro!!SkavenSolo Bill ci riesce...
...ad creare una applicazione che potrebbe scaricare skin malevoli. Incredibile. Prima o poi anche i semplici TXT diventeranno pericolosi, basta che Bill ci metta zampino ed accadrà. ;-)AnonimoBella novità !
E lo hanno scoperto solo ora ?AnonimoRe: Bella novità !
Dimenticavo, il file dello skin è semplicemente un file zip con l'estensione cambiata. All'interno è contenuto un javascript che ha accesso a quasi tutto il sistema.AnonimoE questi ci parlano di........
..........Palladium e sicurezza?Ma ci facciano il piacere!AnonimoPur di farti scaricare WMP 9
Guarda che si sono studiati per cercare di obbligarti a installare la WMP 9 !Probabilmente quando uscirà Longhorn inizieranno a dire che WinXP deve essere sostituito al più presto perchè si è scoperto che favorisce la pedofilia on-line.AnonimoRe: Pur di farti scaricare WMP 9
- Scritto da: Anonimo> Guarda che si sono studiati per cercare di> obbligarti a installare la WMP 9 !> > Probabilmente quando uscirà Longhorn> inizieranno a dire che WinXP deve essere> sostituito al più presto perchè si è> scoperto che favorisce la pedofilia on-line.Così hanno fatto quando dovevano convincere tutti a mollare winme (e anche il proprio computer, visto il consumo di risorse di xp) e prendere xp.LOL! Gli utenti windows ormai sono i "servi della gleba" informatica!*** No maffia on my pc ***AnonimoBS Player
http://www.bsplayer.org/Io il Windows Media ce l'ho ancora fermo al 6.4; e per quanto mi riguarda resta lì.AnonimoRe: BS Player
BS Player è senza dubbio il migliore lettore multimediale oggi presente sul mercato, alla faccia dei miliardi investiti da MS per sviluppare il wmp9 e il suo protocollo di censura/protezioneAnonimoRe: BS Player
- Scritto da: Anonimo> BS Player è senza dubbio il migliore lettore> multimediale oggi presente sul mercato, alla> faccia dei miliardi investiti da MS per> sviluppare il wmp9 e il suo protocollo di> censura/protezioneIn windows sicuramente, su linux esiste pero' mplayerche secondo il mio modesto parere sta avanti a tutti.saluti.CoreDump"zio bill" del forum
issa cosa dira' il nostro caro amico "zio bill" del forum a proposito?(linux)AnonimoCome volevasi dimostrare...
Partendo dal presupposto che tutti i software hanno potenziali bachi (e quando dico tutti intendo dire proprio tutti, sia open che closed !), perchè affidare dati sensibili (come il numero della carta di credito) ad un softwareservizio prodottofornito da chi espressamente ha scritto nella licenza che non si assume NESSUNA responsabilità per danni etc. etc. ?A mio parere non è mai saggio affidare a risorse condivise o condivisibili questo tipo di informazioni. Occorre una bella dose di masochismo per farsi del male in questo modo !Comunque sono cavoli di chi si è affidato (in questo caso) a Passport, io non mi fido oggi e non mi fiderò mai in futuro di nessun software o servizio del genere.Chiamatemi paranoico ma.....Anonimocome dire ...
un bug al giorno aiuta il lamer di turnoAnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 9 mag 2003Ti potrebbe interessare