Redmond (USA) – Alcuni esperti di sicurezza hanno recentemente lanciato l’allarme per quella che considerano una delle più gravi vulnerabilità di sicurezza emerse in Passport, il noto servizio di autenticazione sul Web di Microsoft.
Secondo quanto descritto in un messaggio apparso sulla mailing-list di sicurezza Full Disclosure , la falla interessa – o meglio, interessava, visto che Microsoft avverte di aver già tappato il buco – il meccanismo di recupero delle password che Passport mette a disposizione degli utenti più” distratti”.
Secondo il post, un aggressore avrebbe potuto sfruttare la debolezza per cambiare la password di qualsiasi account di cui conosca il nome utente: in questo modo il malintenzionato avrebbe potuto autenticarsi nel servizio con la nuova password e rubare tutte le informazioni dell’utente che ha creato l’account, incluso l’eventuale numero di carta di credito.
L’esperto di sicurezza che ha divulgato il baco sostiene che la semplicità con cui l’attacco poteva essere portato a termine faceva di questa vulnerabilità un problema molto serio, soprattutto considerando la grande diffusione di Passport.
Della gravità della situazione si è resa conto la stessa Microsoft che, nel giro di sole tre ore dalla pubblicazione dell’advisory, ha provveduto a bloccare la funzionalità a rischio così da impedire l’azzeramento delle password attraverso l’invio al server di una URL malevola: questa è infatti la tecnica che, secondo alcuni esperti, era già stata utilizzata da uno o più cracker per ingannare il sistema e ricevere, nella propria mailbox, un link attraverso cui poter modificare la password di altri utenti.
Il team di sicurezza di Microsoft si è detto al lavoro per riprogettare il sistema di recupero delle password in modo che non sia più vulnerabile a questo tipo di attacchi.
-
come dire ...
un bug al giorno aiuta il lamer di turno -
Come volevasi dimostrare...
Partendo dal presupposto che tutti i software hanno potenziali bachi (e quando dico tutti intendo dire proprio tutti, sia open che closed !), perchè affidare dati sensibili (come il numero della carta di credito) ad un softwareservizio prodottofornito da chi espressamente ha scritto nella licenza che non si assume NESSUNA responsabilità per danni etc. etc. ?A mio parere non è mai saggio affidare a risorse condivise o condivisibili questo tipo di informazioni. Occorre una bella dose di masochismo per farsi del male in questo modo !Comunque sono cavoli di chi si è affidato (in questo caso) a Passport, io non mi fido oggi e non mi fiderò mai in futuro di nessun software o servizio del genere.Chiamatemi paranoico ma..... -
"zio bill" del forum
issa cosa dira' il nostro caro amico "zio bill" del forum a proposito?(linux) -
BS Player
http://www.bsplayer.org/Io il Windows Media ce l'ho ancora fermo al 6.4; e per quanto mi riguarda resta lì.-
Re: BS Player
BS Player è senza dubbio il migliore lettore multimediale oggi presente sul mercato, alla faccia dei miliardi investiti da MS per sviluppare il wmp9 e il suo protocollo di censura/protezione-
Re: BS Player
- Scritto da: Anonimo
BS Player è senza dubbio il migliore lettore
multimediale oggi presente sul mercato, alla
faccia dei miliardi investiti da MS per
sviluppare il wmp9 e il suo protocollo di
censura/protezioneIn windows sicuramente, su linux esiste pero' mplayerche secondo il mio modesto parere sta avanti a tutti.saluti.
-
-
-
Pur di farti scaricare WMP 9
Guarda che si sono studiati per cercare di obbligarti a installare la WMP 9 !Probabilmente quando uscirà Longhorn inizieranno a dire che WinXP deve essere sostituito al più presto perchè si è scoperto che favorisce la pedofilia on-line.-
Re: Pur di farti scaricare WMP 9
- Scritto da: Anonimo
Guarda che si sono studiati per cercare di
obbligarti a installare la WMP 9 !
Probabilmente quando uscirà Longhorn
inizieranno a dire che WinXP deve essere
sostituito al più presto perchè si è
scoperto che favorisce la pedofilia on-line.Così hanno fatto quando dovevano convincere tutti a mollare winme (e anche il proprio computer, visto il consumo di risorse di xp) e prendere xp.LOL! Gli utenti windows ormai sono i "servi della gleba" informatica!*** No maffia on my pc ***
-
-
E questi ci parlano di........
..........Palladium e sicurezza?Ma ci facciano il piacere! -
Bella novità !
E lo hanno scoperto solo ora ?-
Re: Bella novità !
Dimenticavo, il file dello skin è semplicemente un file zip con l'estensione cambiata. All'interno è contenuto un javascript che ha accesso a quasi tutto il sistema.
-
-
Solo Bill ci riesce...
...ad creare una applicazione che potrebbe scaricare skin malevoli. Incredibile. Prima o poi anche i semplici TXT diventeranno pericolosi, basta che Bill ci metta zampino ed accadrà. ;-) -
UHAUHAUHAUAHUAHUHA
Un aggressore può sfruttare il bug del WMP "per piazzare un file mascherato da skin in una locazione conosciuta della macchina dell'utente", ad esempio nella cartella Esecuzione automatica. Il file può consistere in uno script o in un qualsiasi altro tipo di eseguibile malevolo.ma si può...?-
Re: UHAUHAUHAUAHUAHUHA
- Scritto da: Anonimo
ma si può...?Con chi spende piu un marketing che sviluppo si puo' questo ed altro!!
-
