Redmond (USA) – Microsoft svela l’esistenza di un quartetto di vulnerabilità di sicurezza che affliggono le versioni 2000 e 2002 del suo noto Commerce Server, una piattaforma per la creazione e l’amministrazione di siti di e-commerce.
La prima falla consiste in un buffer non verificato incluso in una sezione del codice del Profile Service che gestisce alcuni tipi di chiamate alle API. Attraverso l’invio al server di dati malformati, un aggressore potrebbe sfruttare il baco per fermare il servizio del Commerce Server o eseguire del codice con i privilegi di LocalSystem.
La seconda vulnerabilità è causata dalla presenza di un buffer overrun all’interno del package installer dell’Office Web Components (OWC). Un cracker che passasse al pacchetto dell’OWC alcuni tipi di dati malformati potrebbe essere in grado di eseguire comandi nello stesso contesto del Commerce Server o, ben più grave, in quello di LocalSystem.
Il terzo bug di sicurezza riguarda ancora il package installer dell’OWC. Se attivato in un certo modo, questo software può consentire ad un aggressore di eseguire comandi all’interno del Commerce Server con i privilegi associati alle credenziali con cui si è loggato nel sistema.
L’ultima falla consiste in una variante della vulnerabilità dell’ISAPI Filter discussa nel bollettino MS02-010 . In questo caso un aggressore può sfruttare la debolezza per prendere il pieno controllo di quei sistemi su cui giri il server Web integrato nel Commerce Server: quelli che utilizzano Internet Information Server non sono a rischio.
Tutte le vulnerabilità sopra descritte affliggono la versione 2000 del Commerce Server, mentre solo l’ultima interessa anche l’edizione 2002.
Microsoft afferma che l’utilizzo del tool URLScan , configurato con l’insieme di regole specifiche per il Commerce Server, “potrebbe rendere assai difficile, se non impossibile” l’eventualità che un aggressore riesca a fruttare la prima e l’ultima vulnerabilità. Per le altre due falle i fattori mitiganti sono dati dal fatto che l’aggressore deve necessariamente avere le credenziali adatte per potersi loggare sul server in cui gira il Commerce Server 2000.
Tutte le patch possono essere scaricate dall’interno del bollettino di sicurezza MS02-033 .
leggi i 24 commenti
-
Fatevi avanti!!!
chi ha il coraggio di fare un CD con tutti gli aggiornamenti di windows?-
Re: Fatevi avanti!!!
"...se non hanno paura di questa potenza?":)
-
-
non e' libero
non so se avete letto la licenza ma il maestro xian l'ha letta e dice che vi puo' installare roba sul pc per difendere il drm e quindi non e' free un po' come apt-get pero' cattivo -
basta!
Basta con queata massa di co****ni (def.:organi maschili di forma vagamente sferoidale)-
Re: basta!
OT my foot!
-
-
Come girano...
Ma si puo' vivere tranquilli sta' 'zzo di tecnologia?Ma si vive meglio grazie ad essa o dobbiamo vivere per lei stando dietro a tutti i pericoli che comporta per il nostro vivere in rete?Ma sta 'zzo di Microsoft possibile non sia legalmente perseguibile per tutti i problemi economici e sociali che comporta l'utilizzo delle sue tecnologie?!?!-
Re: Come girano...
- Scritto da: unoqualsiasi
Ma si puo' vivere tranquilli sta' 'zzo di
tecnologia?
Ma si vive meglio grazie ad essa o dobbiamo
vivere per lei stando dietro a tutti i
pericoli che comporta per il nostro vivere
in rete?Mah, sinceramente questo mi sembra solamente vittimismo bello e buono. Situazioni del tipo"mamma mia, che stress la rete - piena di hackere ladri e pornopederasti - sembra di essere in un far-west digitale, aiuto la cyberguerra, siamo schiavi di una tecnologia imposta da un monopolio, aiuto, facciamo la rivoluzione, ahwake up Neo !".Se posso dare il mio umile parere, mi sembra chemolta gente sia influenzata in maniera pesanteda film di fantascienza, vecchi racconti diGibson e Sterling e dalla mania allarmistica deisoliti giornalisti "sbatti il mostro in 1a pagina"Quali pericoli REALI corri se navighi in Retecon il Windows Media Player attivo ? Quanto navighi al giorno 1,2,3 ore ?E cosa credi che ci sia di così vitale nel tuo PCda attirare l'attenzione dei malefici "hacker",che indubbiamente sono lì 24 ore su 24 adattendere che tu faccia partire il player solo per eseguire uno script che ti ridimensionala finestra di IE ?Ma per piacere! Probabilmente la maggioranza dinoi neanche utilizza la carta di credito suInternet, e il pericolo più grosso che correteè che qualcuno mandi alla vostra fidanzata le immagini porno che avete salvato in qualchedirectory dell'HD.Cerchiamo di essere obiettivi e realisti.La Rete è un mezzo di comunicazione,potente e rivoluzionario, ma ALLO STATO ATTUALE DELLE COSEnon ha ancora influenzato la sfera UMANA e SOCIALEin maniera significativa - e se per qualcunonavigare con programmi potenzialmente fallati èuno "stress insostenibile", beh, ci sono un saccodi altre cose più rilassanti da fare.-
Re: Come girano...
- Scritto da: Geronimoe il pericolo più grosso che
correte
è che qualcuno mandi alla vostra fidanzata
le
immagini porno che avete salvato in qualche
directory dell'HD.E ti pare poco?-
Re: Come girano...
- Scritto da: mao
- Scritto da: Geronimo
e il pericolo più grosso che
correte è che qualcuno mandi
alla vostra fidanzata le
immagini porno che avete salvato in
qualche directory dell'HD.
E ti pare poco?Senza dubbio può dare fastidio (se hai qualche"scheletro dento l'armadio", diciamo) manon mi si venga a dire che dobbiamo questipericoli della rete sono troppo grossi a causa della tecnologia... sono problemipersonali. Insomma, posso capire che chi ci lavora, in rete,voglia (per se e per i propri clienti) ragionevoli margini di sicurezza e privacy.Ma non accetto che si faccia del facile vittimismo quando a casa non si fa altroche scaricare MP3, foto hard e snavigazzare -e se non ritenete alcuni strumenti (peraltrocompletamente accessori, tipo Windows MediaPlayer) sicuri, perchè continuate ad usarli?A volte mi sembra che la gente voglia forzatamentetrovarsi problemi o battaglie da combattere,anche se queste battaglie il 90% delle voltesembrano patetici rispetto ad altre questioni.Come ho già detto, cerchiamo di vedere le cose con un minimo di prospettiva e buonsenso.
-
-
Re: Come girano...
La saggezza indiana! Concordo su tutto... :)LAvoro in una società con ingegneri informatici laureati che prima si inca@@ano con la banca perchè tarda a mandargli la carta di credito...poi una volta ottenuta, la lasciano ammuffire nel portafogli perchè non si fidano del commercio elettronico (molti di loro non la usano neanche nei negozi "reali")...la parte + spassosa è che quando vogliono fare acquisti sulla rete vengono da noi "pazzi" chiedendoci di usare la nostra! "...tanto, se te l'hanno clonata, ormai non puoi farci nulla..."Che tristezza...
-
-
-
Alla faccia!!
Cavolacci e meno male che sono a medio rischio......si si ma tanto per Microsoft se uno qualsiasi puo'accedere al sistema e spaccare tutto non e' un problema...tanto era una macchina windows ;-)sigh!-
Re: Alla faccia!!
- Scritto da: 2click
Cavolacci e meno male che sono a medio
rischio...
...si si ma tanto per Microsoft se uno
qualsiasi puo'accedere al sistema e spaccare
tutto non e' un problema...tanto era una
macchina windows ;-)
sigh!D'altro canto, puoi sempre usare un Mac o un PC Linux... :)-
Re: Alla faccia!!
Non capisco proprio perchè i vari linuxiani non ammettono che da Windows 2k in poi compreso XP a linux ci passa un mare di usabilità. Io uso sia XP Pro che la redhat 7.2 con kde e tra i due se potessi buttarne via uno butterei linux.Linea di comando? certo se la volessi usare tornerei 10 anni indietro al tempo di Dos (anche se non sono paragonabili in potenza).Del resto piccoli problemi come il modem interno del mio portatile sotto windows xp va da subito, senza nessun problema... mentro in redhat no e il tanto blasonato supporto tecnico non mi ha dato nemmeno risposta.Complimenti linux. Se proprio devo prendo Mac.Andrea-
Re: Alla faccia!!
- Scritto da: AndreaMa se non sai usare Linux perche' vuoi farlo?Linux non e' per tutti... c'e' chi puo' e chi non puo', evidentemente tu non puoi..Bye-
Re: Alla faccia!!
- Scritto da: 35.21?
- Scritto da: Andrea
Ma se non sai usare Linux perche' vuoi farlo?Complimenti...questo sì che è il vero spirito dell'Open Source!!!
Linux non e' per tutti...Vedi sopra...
c'e' chi puo' e
chi non puo', evidentemente tu non puoi..E allora non rompetei maroni "MS uccide il libero mercato!...Alla gogna Bill Gates!..."Se non vuoi che Linux sia per tutti, di che ti lamenti, visto che Windows si rivolge ad un utenza prettamente diversa da te (che ovviamente sei un genio)?
-
-
-
-
-
SIORI E SIORE, INCREDIBILE!
Mi stupisce il fatto che essendo le 9:29 non c'è ancora nessun commento a una notizia in cui MS fà una cosa positiva. Non è che ammiri o disprezzi in qualche modo particolare MS, ma mi fà pensare il fatto che se questa fosse stata solo una notizia di vulnerabilità e basta, ora ci sarebbero 50 post con scritto di tutto contro MS. Una volta che bill fà 1 cosa giusta allora non vale la pena di dire un cazzo: a cosa ci si attacca, no?-
Re: SIORI E SIORE, INCREDIBILE!
- Scritto da: Delta V
Una
volta che bill fà 1 cosa giusta allora non
vale la pena di dire un cazzo: a cosa ci si
attacca, no?Fa una cosa giusta?!!?!?!! Ma che commento del piffero!Ma quanti di voi continuerebbero a comprare prodotti che ogni pochi giorni devono "rientrare" per difetti? Ma va fan MS!-
Re: SIORI E SIORE, INCREDIBILE!
Fa una cosa giusta?!!?!?!! Ma che commento
del piffero!
Ma quanti di voi continuerebbero a comprare
prodotti che ogni pochi giorni devono
"rientrare" per difetti?
Ma va fan MS!il che mi fa pensare che nessuno di voi legge bugtraqse andate su securityfocus vedrete una 20ina di vulnerabilita' al giorno, che riguardano OGNI software esistente....evidentemente, se fosse come dici tu, non bisognerebbe usare nulla...ciao-
Re: SIORI E SIORE, INCREDIBILE!
- Scritto da: maks
il che mi fa pensare che nessuno di voi
legge bugtraq
se andate su securityfocus vedrete una 20ina
di vulnerabilita' al giorno, che riguardano
OGNI software esistente....Se si parla di OpenSource per "definizione" si parla di progetti continuamente "in lavorazione" ma quando si parla di software proprietario TUTTE le software-house dovrebbero SMETTERLA di rilasciare prodotti bacati-fallati-insicuri-erompicoleottericontutteleloropatchdel cavolo.
evidentemente, se fosse come dici tu, non
bisognerebbe usare nulla...Se non sbaglio nel mondo OpenSource c'e' il concetto di stable e development. Se voglio la "sicurezza" scelgo il primo, giusto? Con le aziende? Dopo che pago perche' devo subire di fare costantemente il loro beta-tester?-
Re: SIORI E SIORE, INCREDIBILE!
il che mi fa pensare che nessuno di voi
legge bugtraq
se andate su securityfocus vedrete una
20ina
di vulnerabilita' al giorno, che
riguardano
OGNI software esistente....
Se si parla di OpenSource per "definizione"
si parla di progetti continuamente "in
lavorazione" ma quando si parla di software
proprietario TUTTE le software-house
dovrebbero SMETTERLA di rilasciare prodotti
bacati-fallati-insicuri-erompicoleottericontu
non uscirebbe mai software
evidentemente, se fosse come dici tu, non
bisognerebbe usare nulla...
Se non sbaglio nel mondo OpenSource c'e' il
concetto di stable e development. Se voglio
la "sicurezza" scelgo il primo, giusto? Con
le aziende? Dopo che pago perche' devo
subire di fare costantemente il loro
beta-tester?apache 1.3.24 e' considerato stable da un bel po' di tempo..peccato ci sia un bug enorme...il software stable non esistelamentarsi dei bug e' come lamentarsi del fatto che usando una cosa si logora...alcuni bug sono macroscopici, la maggior parte affiorano con l'uso...non si puo' testare un prodotto 4 anni per farlo uscire quando ormai e' vecchio...ciao -
Re: SIORI E SIORE, INCREDIBILE!
- Scritto da: maks
apache 1.3.24 e' considerato stable da un
bel po' di tempo..
peccato ci sia un bug enorme...
il software stable non esiste
lamentarsi dei bug e' come lamentarsi del
fatto che usando una cosa si logora...
alcuni bug sono macroscopici, la maggior
parte affiorano con l'uso...
non si puo' testare un prodotto 4 anni per
farlo uscire quando ormai e' vecchio...
ciaoperfettamente d'accordo.ricordate il glorioso win 3.11? ebbene, quel sistema operativo aveva un numero enorme di bachi, nell'ordine delle migliaia (naturalmente scoperti e catalogati in seguito).Eppure win 3.11 poteva considerarsi "stable", perché la MS ha sempre messo in commercio prodotti pieni zeppi di bugs ma non così tanti (e gravi) da pregiudicarne l' utilizzo. -
Re: SIORI E SIORE, INCREDIBILE!
.. e' inutile scrivere queste cose.E' pura verita' e verra' ignorata come sempre da chi pretende che il software sia perfetto.Come ben sai, chi pretende la perfezione nel software, non ha abbastanza esperienza per capire quello che hai detto.Saluti
-
-
-
-
Re: SIORI E SIORE, INCREDIBILE!
quale "cosa giusta"? rilasciare delle patch? wow, ma che braaavooo (voce di oriano ferrari). e io che pensavo che i bachi si correggessero col ddt...questa è appunto una di quelle notizie dove di solito ci sono 50 post uno + scemo dell'altro.probabilmente i troll si sono stufati di trollare. con buona pace dei "linuxari" che (forse) stavolta non verranno accusati ingiustamente di avere due pesi e due misure per colpa di pochi (secondo me) provocatori.- Scritto da: Delta V
Mi stupisce il fatto che essendo le 9:29 non
c'è ancora nessun commento a una notizia in
cui MS fà una cosa positiva. Non è che
ammiri o disprezzi in qualche modo
particolare MS, ma mi fà pensare il fatto
che se questa fosse stata solo una notizia
di vulnerabilità e basta, ora ci sarebbero
50 post con scritto di tutto contro MS. Una
volta che bill fà 1 cosa giusta allora non
vale la pena di dire un cazzo: a cosa ci si
attacca, no? -
Re: SIORI E SIORE, INCREDIBILE!
- Scritto da: Delta V
una volta che bill fà 1 cosa giusta allora non
vale la pena di dire un cazzo: a cosa ci si
attacca, no?Hei giovane, qui c'e' gente come il sottoscritto che ha speso 2 ricchi milioni di lire per un S.O. e ogni 5 giorni si illumina il windows update! e sono stufo anche di leggere i bullettin! Non giochiamo, l'unica cosa che rinfaccero sempre ai sistemi Linux è l'utenza che deve crescere mentalmente (non è un'offesa).Tutti sanno che linux è migliore, così come tutti sanno che drogarsi fa male, ma dovete insegnarlo e dimostrarlo agli altri, non essere arroganti a chi usa Windows, questa è una delel chiavi fondamentali. Sostituitevi ai preti e profetizzate Linux alle nuove leve ;-) Ex utente smanettone Amiga e ora PC.
-
