PGP e Outlook, accoppiata al bug

Il più popolare software per la privacy delle e-mail contiene un grave buco di sicurezza nel plug-in che si installa in Outlook. Patch già pronta


Roma – Pretty Good Privacy (PGP), il più diffuso software crittografico dedicato alla privacy della posta elettronica, si è risvegliato con un grosso buco che può consentire ad un cracker di prendere il controllo del computer dell’utente vittima. La portata della falla è notevole a causa del fatto che PGP è largamente utilizzato non solo dagli utenti privati, ma anche da aziende ed enti pubblici.

La vulnerabilità, scoperta dalla nota società di sicurezza Eye Digital Security, consiste in un bug contenuto nel plug-in per Outlook di PGP, lo stesso che facilita l’accesso alle funzionalità di codifica e decodifica delle e-mail dall’interno del client di Microsoft. Nell’ avviso di sicurezza di Eye si spiega che la falla può essere sfruttata da malintenzionati attraverso una e-mail manipolata in un certo modo: questo dà all’aggressore la possibilità di seguire sul sistema della vittima del codice a sua scelta.

Perché l’attacco riesca basta che l’utente semplicemente selezioni la e-mail malevola: la sua apertura o il lancio di allegati non sono necessari. Se l’attacco ha successo, il codice incluso dall’aggressore nella e-mail viene eseguito con gli stessi privilegi dell’utente locale: questo mette a repentaglio la sicurezza dei messaggi criptati e dell’intero sistema. Ad aggravare la cosa, secondo gli esperti di Eye, vi è il fatto che gli attacchi, grazie alla natura del protocollo SMTP, possono essere portati in modo del tutto anonimo.

La falla interessa le versioni Desktop Security 7.0.4, Personal Security 7.0.3 e Freeware 7.0.3 di PGP. Network Associates ( NAI ), che fino allo scorso marzo distribuiva sia la versione commerciale che quella freeware di PGP, ha rilasciato le relative patch qui . Secondo quanto ha fatto sapere Eye, il problema non riguarda il plug-in di Outlook Express.

Recentemente NAI, a causa degli scarsi ritorni di profitto, ha abbandonato lo sviluppo e la distribuzione di tutte le versioni di PGP.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    ecco pronta la soluzione!
    La patch è costituita da una utility, KillPwd, che una volta lanciata fa una scansione del sistema in cerca di eventuali file contenenti password di SQL e li cancella. L'altra soluzione suggerita da Microsoft è quella di spostare manualmente i file incriminati in una directory protetta. Ditemi che non e' vero. La soluzione suggerita da MS non e' semplicemente comica?
    • Anonimo scrive:
      Re: ecco pronta la soluzione!

      Ditemi che non e' vero.

      La soluzione suggerita da MS non e'
      semplicemente comica?Beh ma funziona no?Io però ho una soluzione migliore: andare sul prompt di DOS, scrivere "format C:", riavviare il computer e installare Linux con MySQL o PostGres. A questo punto, se volete, potrete anche vendere il computer tenendovi solo il vecchio hard disk, spendere più o meno metà del ricavato per comprare un computer più vecchio, rimetterci l'hard disk: ci avrete guadagnato dei soldi e andrete esattamente alla stessa velocità di prima. Solo che avrete molti meno problemi.Fidatevi.
      • Anonimo scrive:
        Re: ecco pronta la soluzione!

        installare Linux con
        MySQL o PostGres. Questa è la soluzione per i malati di mente...Se paragoni MySQL a SQL Server, vuol dire che - 1 non hai mai usato SQL Server- 2 fai applicazioni che sono delle cagate!!!PostGres non lo conosco, ma paragonare MySQL a SQL Server è come paragonare PHP a .NET : non centra un caxxo !!!Sono 2 prodotti completamente diversi, che hanno obbiettivi completamente diversi !!ciao a tutti, e sparate meno caxxate !!!!
        • Anonimo scrive:
          Re: ecco pronta la soluzione!

          PostGres non lo conoscoe neppure sapdb (www.sapdb.org ), scommetto ..e c'e gente che continua a pagare un occhio della testa per MS SQL SERVER che , correggetemi se sbaglio, gira solo su piattaforma intel.. mah!
          • Anonimo scrive:
            Re: ecco pronta la soluzione!


            PostGres non lo conosco
            e neppure sapdb (www.sapdb.org ), scommetto
            ..
            e c'e gente che continua a pagare un occhio
            della testa per MS SQL SERVER che ,
            correggetemi se sbaglio, gira solo su
            piattaforma intel..
            mah!il solo fatto che sia SAP mi fa venire i brividi...avranno sviluppato un database in abab...E anzi, scherzi a parte, sembra(dal nome) un evoluzione di una vecchia versione di oracle...
          • Anonimo scrive:
            Re: ecco pronta la soluzione!
            il sapdb e' un database sotto GPL che potenzia il sap R/3 e gestisce database fino a 32 terabyte ; _non_ e' assolutamente una vecchia versione di oracle .. non dico che sia il database perfetto , ma IMO e' una alternativa a oracle piu ' plausibile di M$ SQL SERVER (poi alla fine visto quello che costano, tutti e due, non e' che me ne freghi molto di quale sia il migliore ) sul sito ci sono tutte le informazioni che vuoi , inclusi i sorgenti
          • Anonimo scrive:
            Re: ecco pronta la soluzione!
            - Scritto da: illegalinstruction
            il sapdb e' un database sotto GPL che
            potenzia il sap R/3 e gestisce database fino
            a 32 terabyte ; _non_ e' assolutamente una
            vecchia versione di oracle .. non dico che
            sia il database perfetto , ma IMO e' una
            alternativa a oracle piu ' plausibile
            di M$ SQL SERVER
            (poi alla fine visto quello che costano,
            tutti e due, non e' che me ne freghi molto
            di quale sia il migliore ) Qui, lasciamelo dire, dimostri mancanza di esperienza aziendale. Vai a giustificare ad un dirigente "l'applicazione e' lenta, abbiamo perso i dati (accidenti il supporto alle transazioni e' ancora beta ed un backup decente e' un sogno), per risparmiare 1400 euro." e vediamo la risposta.Poi sono d'accordo con te che spesso si spenda a sproposito. Ho visto 3 team sviluppare 3 applicazioni diverse, usando ciascuno il suo db server, quando sarebbe stato MOLTO piu' corretto averne uno, a manutenzione centralizzata, con tre database separati in linea.
          • Anonimo scrive:
            Re: ecco pronta la soluzione!
            Che poi, lo so che ognuno é convinto di non poter fare a meno di "quella feature" o "quell'altra", ma provare a dare un'occhiata anche a Postgres non guasterebbe, e provarlo, anche se magari sembra che non abbia proprio quella funzione basilare poi si scopre che non ci serviva a un tubo, come mettiamo per esempio activex in un browser o l'interfaccia per cliccare su "compila" e far lanciare il compilatore IMHO eh.
          • Anonimo scrive:
            Re: ecco pronta la soluzione!
            Sbagli gira anche su alpha-digital
          • Anonimo scrive:
            Re: ecco pronta la soluzione!
            In questo sbagli. Siamo una azienda con + di 300 pc partner sia microsoft che ibm.Abbiamo servers con linux e servers con wind2000Adv. server, oltre a testare sia XP, .NET ecc. Ecc...Solo oposso dire che SQL Server 7 , e 2000, lavora alla grande anche su amd, e credo pure con altre cose....Sono in perfetton accordo con te per il risparmio e su Linux, ma noi, benchè orientati in quella direzione molto attentamente, non possiamo permetterci di utilizzarlo su scala definitiva.....questa è larealtà, sia di possibilità tecniche lavorative che commerciale.Saluti, e spero i lavori si velocizzino per una rapida pseudo unificazione, (sogno)..
      • Anonimo scrive:
        Re: ecco pronta la soluzione!
        - Scritto da: Federico
        con
        MySQL o PostGres.Soluzione che fa ridere, per applicazione piu' serie della tua agenda telefonica personale.
Chiudi i commenti