Redmond (USA) – Microsoft svela l’esistenza di un quartetto di vulnerabilità di sicurezza che affliggono le versioni 2000 e 2002 del suo noto Commerce Server, una piattaforma per la creazione e l’amministrazione di siti di e-commerce.
La prima falla consiste in un buffer non verificato incluso in una sezione del codice del Profile Service che gestisce alcuni tipi di chiamate alle API. Attraverso l’invio al server di dati malformati, un aggressore potrebbe sfruttare il baco per fermare il servizio del Commerce Server o eseguire del codice con i privilegi di LocalSystem.
La seconda vulnerabilità è causata dalla presenza di un buffer overrun all’interno del package installer dell’Office Web Components (OWC). Un cracker che passasse al pacchetto dell’OWC alcuni tipi di dati malformati potrebbe essere in grado di eseguire comandi nello stesso contesto del Commerce Server o, ben più grave, in quello di LocalSystem.
Il terzo bug di sicurezza riguarda ancora il package installer dell’OWC. Se attivato in un certo modo, questo software può consentire ad un aggressore di eseguire comandi all’interno del Commerce Server con i privilegi associati alle credenziali con cui si è loggato nel sistema.
L’ultima falla consiste in una variante della vulnerabilità dell’ISAPI Filter discussa nel bollettino MS02-010 . In questo caso un aggressore può sfruttare la debolezza per prendere il pieno controllo di quei sistemi su cui giri il server Web integrato nel Commerce Server: quelli che utilizzano Internet Information Server non sono a rischio.
Tutte le vulnerabilità sopra descritte affliggono la versione 2000 del Commerce Server, mentre solo l’ultima interessa anche l’edizione 2002.
Microsoft afferma che l’utilizzo del tool URLScan , configurato con l’insieme di regole specifiche per il Commerce Server, “potrebbe rendere assai difficile, se non impossibile” l’eventualità che un aggressore riesca a fruttare la prima e l’ultima vulnerabilità. Per le altre due falle i fattori mitiganti sono dati dal fatto che l’aggressore deve necessariamente avere le credenziali adatte per potersi loggare sul server in cui gira il Commerce Server 2000.
Tutte le patch possono essere scaricate dall’interno del bollettino di sicurezza MS02-033 .
-
SIORI E SIORE, INCREDIBILE!
Mi stupisce il fatto che essendo le 9:29 non c'è ancora nessun commento a una notizia in cui MS fà una cosa positiva. Non è che ammiri o disprezzi in qualche modo particolare MS, ma mi fà pensare il fatto che se questa fosse stata solo una notizia di vulnerabilità e basta, ora ci sarebbero 50 post con scritto di tutto contro MS. Una volta che bill fà 1 cosa giusta allora non vale la pena di dire un cazzo: a cosa ci si attacca, no?AnonimoRe: SIORI E SIORE, INCREDIBILE!
- Scritto da: Delta V> Una> volta che bill fà 1 cosa giusta allora non> vale la pena di dire un cazzo: a cosa ci si> attacca, no?Fa una cosa giusta?!!?!?!! Ma che commento del piffero!Ma quanti di voi continuerebbero a comprare prodotti che ogni pochi giorni devono "rientrare" per difetti? Ma va fan MS!AnonimoRe: SIORI E SIORE, INCREDIBILE!
> Fa una cosa giusta?!!?!?!! Ma che commento> del piffero!> > Ma quanti di voi continuerebbero a comprare> prodotti che ogni pochi giorni devono> "rientrare" per difetti? > > Ma va fan MS!il che mi fa pensare che nessuno di voi legge bugtraqse andate su securityfocus vedrete una 20ina di vulnerabilita' al giorno, che riguardano OGNI software esistente....evidentemente, se fosse come dici tu, non bisognerebbe usare nulla...ciaoAnonimoRe: SIORI E SIORE, INCREDIBILE!
- Scritto da: maks> il che mi fa pensare che nessuno di voi> legge bugtraq> se andate su securityfocus vedrete una 20ina> di vulnerabilita' al giorno, che riguardano> OGNI software esistente....Se si parla di OpenSource per "definizione" si parla di progetti continuamente "in lavorazione" ma quando si parla di software proprietario TUTTE le software-house dovrebbero SMETTERLA di rilasciare prodotti bacati-fallati-insicuri-erompicoleottericontutteleloropatchdel cavolo.> evidentemente, se fosse come dici tu, non> bisognerebbe usare nulla...Se non sbaglio nel mondo OpenSource c'e' il concetto di stable e development. Se voglio la "sicurezza" scelgo il primo, giusto? Con le aziende? Dopo che pago perche' devo subire di fare costantemente il loro beta-tester?AnonimoRe: SIORI E SIORE, INCREDIBILE!
quale "cosa giusta"? rilasciare delle patch? wow, ma che braaavooo (voce di oriano ferrari). e io che pensavo che i bachi si correggessero col ddt...questa è appunto una di quelle notizie dove di solito ci sono 50 post uno + scemo dell'altro.probabilmente i troll si sono stufati di trollare. con buona pace dei "linuxari" che (forse) stavolta non verranno accusati ingiustamente di avere due pesi e due misure per colpa di pochi (secondo me) provocatori.- Scritto da: Delta V> Mi stupisce il fatto che essendo le 9:29 non> c'è ancora nessun commento a una notizia in> cui MS fà una cosa positiva. Non è che> ammiri o disprezzi in qualche modo> particolare MS, ma mi fà pensare il fatto> che se questa fosse stata solo una notizia> di vulnerabilità e basta, ora ci sarebbero> 50 post con scritto di tutto contro MS. Una> volta che bill fà 1 cosa giusta allora non> vale la pena di dire un cazzo: a cosa ci si> attacca, no?AnonimoRe: SIORI E SIORE, INCREDIBILE!
- Scritto da: Delta V> una volta che bill fà 1 cosa giusta allora non> vale la pena di dire un cazzo: a cosa ci si> attacca, no?Hei giovane, qui c'e' gente come il sottoscritto che ha speso 2 ricchi milioni di lire per un S.O. e ogni 5 giorni si illumina il windows update! e sono stufo anche di leggere i bullettin! Non giochiamo, l'unica cosa che rinfaccero sempre ai sistemi Linux è l'utenza che deve crescere mentalmente (non è un'offesa).Tutti sanno che linux è migliore, così come tutti sanno che drogarsi fa male, ma dovete insegnarlo e dimostrarlo agli altri, non essere arroganti a chi usa Windows, questa è una delel chiavi fondamentali. Sostituitevi ai preti e profetizzate Linux alle nuove leve ;-) Ex utente smanettone Amiga e ora PC.AnonimoAlla faccia!!
Cavolacci e meno male che sono a medio rischio......si si ma tanto per Microsoft se uno qualsiasi puo'accedere al sistema e spaccare tutto non e' un problema...tanto era una macchina windows ;-)sigh!AnonimoRe: Alla faccia!!
- Scritto da: 2click> Cavolacci e meno male che sono a medio> rischio...> > ...si si ma tanto per Microsoft se uno> qualsiasi puo'accedere al sistema e spaccare> tutto non e' un problema...tanto era una> macchina windows ;-)> > > sigh!D'altro canto, puoi sempre usare un Mac o un PC Linux... :)AnonimoRe: Alla faccia!!
Non capisco proprio perchè i vari linuxiani non ammettono che da Windows 2k in poi compreso XP a linux ci passa un mare di usabilità. Io uso sia XP Pro che la redhat 7.2 con kde e tra i due se potessi buttarne via uno butterei linux.Linea di comando? certo se la volessi usare tornerei 10 anni indietro al tempo di Dos (anche se non sono paragonabili in potenza).Del resto piccoli problemi come il modem interno del mio portatile sotto windows xp va da subito, senza nessun problema... mentro in redhat no e il tanto blasonato supporto tecnico non mi ha dato nemmeno risposta.Complimenti linux. Se proprio devo prendo Mac.AndreaAnonimoRe: Alla faccia!!
- Scritto da: AndreaMa se non sai usare Linux perche' vuoi farlo?Linux non e' per tutti... c'e' chi puo' e chi non puo', evidentemente tu non puoi..ByeAnonimoCome girano...
Ma si puo' vivere tranquilli sta' 'zzo di tecnologia?Ma si vive meglio grazie ad essa o dobbiamo vivere per lei stando dietro a tutti i pericoli che comporta per il nostro vivere in rete?Ma sta 'zzo di Microsoft possibile non sia legalmente perseguibile per tutti i problemi economici e sociali che comporta l'utilizzo delle sue tecnologie?!?!AnonimoRe: Come girano...
- Scritto da: unoqualsiasi> Ma si puo' vivere tranquilli sta' 'zzo di> tecnologia?> Ma si vive meglio grazie ad essa o dobbiamo> vivere per lei stando dietro a tutti i> pericoli che comporta per il nostro vivere> in rete?Mah, sinceramente questo mi sembra solamente vittimismo bello e buono. Situazioni del tipo"mamma mia, che stress la rete - piena di hackere ladri e pornopederasti - sembra di essere in un far-west digitale, aiuto la cyberguerra, siamo schiavi di una tecnologia imposta da un monopolio, aiuto, facciamo la rivoluzione, ahwake up Neo !".Se posso dare il mio umile parere, mi sembra chemolta gente sia influenzata in maniera pesanteda film di fantascienza, vecchi racconti diGibson e Sterling e dalla mania allarmistica deisoliti giornalisti "sbatti il mostro in 1a pagina"Quali pericoli REALI corri se navighi in Retecon il Windows Media Player attivo ? Quanto navighi al giorno 1,2,3 ore ?E cosa credi che ci sia di così vitale nel tuo PCda attirare l'attenzione dei malefici "hacker",che indubbiamente sono lì 24 ore su 24 adattendere che tu faccia partire il player solo per eseguire uno script che ti ridimensionala finestra di IE ?Ma per piacere! Probabilmente la maggioranza dinoi neanche utilizza la carta di credito suInternet, e il pericolo più grosso che correteè che qualcuno mandi alla vostra fidanzata le immagini porno che avete salvato in qualchedirectory dell'HD.Cerchiamo di essere obiettivi e realisti.La Rete è un mezzo di comunicazione,potente e rivoluzionario, ma ALLO STATO ATTUALE DELLE COSEnon ha ancora influenzato la sfera UMANA e SOCIALEin maniera significativa - e se per qualcunonavigare con programmi potenzialmente fallati èuno "stress insostenibile", beh, ci sono un saccodi altre cose più rilassanti da fare.AnonimoRe: Come girano...
- Scritto da: Geronimoe il pericolo più grosso che> correte> è che qualcuno mandi alla vostra fidanzata> le > immagini porno che avete salvato in qualche> directory dell'HD.E ti pare poco?AnonimoRe: Come girano...
- Scritto da: mao> - Scritto da: Geronimo> e il pericolo più grosso che> > correte è che qualcuno mandi > > alla vostra fidanzata le > > immagini porno che avete salvato in> > qualche directory dell'HD.> > E ti pare poco?Senza dubbio può dare fastidio (se hai qualche"scheletro dento l'armadio", diciamo) manon mi si venga a dire che dobbiamo questipericoli della rete sono troppo grossi a causa della tecnologia... sono problemipersonali. Insomma, posso capire che chi ci lavora, in rete,voglia (per se e per i propri clienti) ragionevoli margini di sicurezza e privacy.Ma non accetto che si faccia del facile vittimismo quando a casa non si fa altroche scaricare MP3, foto hard e snavigazzare -e se non ritenete alcuni strumenti (peraltrocompletamente accessori, tipo Windows MediaPlayer) sicuri, perchè continuate ad usarli?A volte mi sembra che la gente voglia forzatamentetrovarsi problemi o battaglie da combattere,anche se queste battaglie il 90% delle voltesembrano patetici rispetto ad altre questioni.Come ho già detto, cerchiamo di vedere le cose con un minimo di prospettiva e buonsenso.AnonimoRe: Come girano...
La saggezza indiana! Concordo su tutto... :)LAvoro in una società con ingegneri informatici laureati che prima si inca@@ano con la banca perchè tarda a mandargli la carta di credito...poi una volta ottenuta, la lasciano ammuffire nel portafogli perchè non si fidano del commercio elettronico (molti di loro non la usano neanche nei negozi "reali")...la parte + spassosa è che quando vogliono fare acquisti sulla rete vengono da noi "pazzi" chiedendoci di usare la nostra! "...tanto, se te l'hanno clonata, ormai non puoi farci nulla..."Che tristezza...Anonimobasta!
Basta con queata massa di co****ni (def.:organi maschili di forma vagamente sferoidale)AnonimoRe: basta!
OT my foot!Anonimonon e' libero
non so se avete letto la licenza ma il maestro xian l'ha letta e dice che vi puo' installare roba sul pc per difendere il drm e quindi non e' free un po' come apt-get pero' cattivoAnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 28 giu 2002Ti potrebbe interessare