Windows, ecco le patch natalizie

Con quello che dovrebbe essere l'ultimo appuntamento dell'anno con i bollettini di sicurezza di Windows, Microsoft presenta cinque patch che, fra le altre, stuccano una nota falla nel servizio WINS


Redmond (USA) – Martedì notte Microsoft ha pubblicato quelli che, salvo sorprese, dovrebbero essere gli ultimi bollettini di sicurezza del 2004. I nuovi advisory, in tutto cinque, sono classificati come “important”, e descrivono nove differenti vulnerabilità contenute in Windows e in alcuni suoi componenti.

Le due falle più serie, note al pubblico già da alcune settimane, riguardano il servizio Windows Internet Naming Service (WINS), e sono state corrette con le patch che accompagnano il bollettino MS04-045 . Sebbene Microsoft ritenga che i bug di WINS non costituiscano una minaccia della massima pericolosità, gli esperti hanno avvertito gli utenti della circolazione online di un exploit che i cracker potrebbero utilizzare per eseguire del codice da remoto.

“Un utente malintenzionato che riesca a sfruttare la più grave di queste vulnerabilità potrebbe assumere il controllo completo del sistema interessato, riuscendo a installare programmi; visualizzare, modificare o eliminare dati; oppure creare nuovi account con privilegi completi”, si legge nel bollettino del big di Redmond. “Microsoft consiglia agli amministratori di WINS di installare l’aggiornamento il più presto possibile”.

WINS è un componente che gestisce il mapping dinamico degli indirizzi IP a nomi di computer NetBIOS. Similmente a quanto fa il DNS per Internet, questo servizio consente agli utenti di accedere alle risorse utilizzando un nome facilmente ricordabile anziché un indirizzo numerico. WINS non è attivato di default, tuttavia il numero di aziende che lo utilizzano non è trascurabile.

I due bug di WINS interessano Windows NT Server 4.0, Windows 2000 e Windows Server 2003.

Il bollettino MS04-041 riguarda due vulnerabilità di WordPad, il ben noto editor di testi integrato in Windows. Anche in questo caso un malintenzionato potrebbe sfruttare le falle per eseguire del codice da remoto, tuttavia Microsoft sottolinea come sia necessaria l’interazione dell’utente e come i rischi, per coloro che utilizzano account con privilegi limitati, siano ridotti.

Il problema interessa praticamente tutte le versioni di Windows, ma in 98/ME la minaccia è considerata “non critica” e in Windows Server 2003 “moderata”.

Nell’avviso MS04-042 vengono invece esaminate due vulnerabilità del servizio DHCP (Dynamic Host Configuration Protocol) Server, utilizzato per assegnare dinamicamente, a livello centralizzato, gli indirizzi IP ai vari host di una rete. I bug, che interessano solo Windows NT Server 4.0, possono consentire ad un aggressore di compromettere un sistema remoto, eventualità però considerata da Microsoft “assai improbabile” per via della complessità di un tale attacco.

La patch documentata nel bollettino MS04-043 corregge un falla dell’HyperTerminal, il terminale a caratteri di Windows con cui è possibile connettersi a servizi Telnet, BBS o ad altri dispositivi via modem o cavo seriale. Il problema riguarda tutte le versioni di Windows con kernel NT, incluso Windows XP e 2003, e può dare la possibilità ad un cracker di prendere il pieno controllo di un sistema da remoto là dove gli utenti siano loggati con privilegi amministrativi. “Per poter sfruttare questa vulnerabilità – precisa Microsoft – è tuttavia necessaria l’interazione dell’utente”.

Infine, nell’avviso di sicurezza MS04-044 Microsoft descrive una vulnerabilità nel kernel di Windows ed una nel servizio di autenticazione LSASS (Local Security Authentication Server). Secondo quanto riportato da SANS Institute, entrambe le falle possono essere utilizzare per elevare i privilegi: per far ciò è tuttavia necessario disporre di un account utente e loggarsi da locale. A quanto pare, dunque, quest’ultima falla di LSASS appare assai meno seria di quella che, lo scorso maggio, permise al famigerato worm Sasser di diffondersi a macchia d’olio.

Tutte le patch possono essere scaricate manualmente o attraverso il Windows Update.

Microsoft ha anche pubblicato una versione aggiornata del bollettino MS04-028 , relativo alla nota vulnerabilità del componente GDI+ di Windows nell’elaborazione dei file JPEG, in cui viene resa nota l’inclusione della patch all’interno degli aggiornamenti di alcuni prodotti, tra cui MS.NET Framework, Visual FoxPro 8.0 e Windows Messenger 5.1.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Re: roba grossa il grid..

    Non tutti i problemi presentano la
    caratteristica (1)I codici montecarlo e pochi altri.
    Per tener testa ai supercalcolatori
    (www.top500.org ) è necessario un
    elevato(anzi elevatissimo) numero di nodi in
    un GRID, visto che le linee di comunicazione
    internodo in un SuperCalcolatore viaggiano
    sull'ordine dei GBit/s (earth simulator: 16
    GB/s inter-node bandwidth)Allora hanno ragione quelli di DEISA afederare i supercalcolatori, se banda elatenza "uccidono" le applicazioni, tantovale aggregare il calcolo in pochi punticonnessi a larga banda.
  • Anonimo scrive:
    Re: roba grossa il grid..
    Scusa, non mi sono spiegato.Come si fa ad aggregare il potenzialedi tutti i pc disponibili su internet?Inoltre - visto la risposta che hanno dato -puntualizzo che i trasferimenti eccezionalifatti una tantum non sono altro che la dimostrazione della capacita' massima,del "limite superiore" ma non del fattoche questo "limite superiore" sia sempreraggiungibile e sia sempre disponibile atutti.
  • Anonimo scrive:
    Re: roba grossa il grid..

    Inoltre c'è da considerare la latenza
    e la scarca ampiezza di banda delle reti di
    comunicazione usate nei sistemi GRID, che
    sovrasta abbondandemente le capacità
    di calcolo dei singoli nodi dei sistemi
    odierni.oddio, non mi sembra tanto scarsa la banda disponibile (se la ripulissero dallo spam, sarebbe 100 volte di più..) ma considera che nell' articolo si parla di centri di ricerca, università, ecc.. che sono collegati non solo dall' Internet normale ma anche da linee apposite in fibra ottica che vanno di brutto...ricordi la notizia sul trasferimento a svariati GB/s tra due università, una in europa e una in usa? insomma, non è tanto male..
  • Anonimo scrive:
    Re: roba grossa il grid..
    - Scritto da: Anonimo
    vero, ho solo una domanda:
    come si fa?Si partiziona un problema in sottoproblemi più piccoli e tali sottoproblemi devono essere indipendenti(1) tra di loro.Siccome in un certo lasso temporale molti nodi concorrono asincronamente alla risoluzione di quei sottoproblemi, e poi si sommando i flop/s effettivi di tutti i nodi per ottenere quel valore globale.Non tutti i problemi presentano la caratteristica (1)per cui non tutti i problemi possono essere affrontati in questo modo, e ce ne sono parecchi.Inoltre c'è da considerare la latenza e la scarca ampiezza di banda delle reti di comunicazione usate nei sistemi GRID, che sovrasta abbondandemente le capacità di calcolo dei singoli nodi dei sistemi odierni.Per tener testa ai supercalcolatori (http://www.top500.org) è necessario un elevato(anzi elevatissimo) numero di nodi in un GRID, visto che le linee di comunicazione internodo in un SuperCalcolatore viaggiano sull'ordine dei GBit/s (earth simulator: 16 GB/s inter-node bandwidth)........
  • Anonimo scrive:
    Re: GRID
    Da quanto leggo su www.deisa.org si fa anche con reti di connessione dedicate,con AIX, LINUX ed altri sistemi operativi, sifa con file system che viaggiano su areageografica, si fa con Globus, con UNICORE,con LDAP, con politiche di sicurezza X509,con certification authority, si fa anche con lamacarena in sottofondo. :)
  • Anonimo scrive:
    Re: roba grossa il grid..
    vero, ho solo una domanda:come si fa?
  • Anonimo scrive:
    Re: GRID
    - Scritto da: Anonimo
    - Scritto da: Lucrezia

    Dai ragazzi, almeno un commento sul
    grid...

    Già han perso tempo a inserire

    l'articolo nel sito, adesso almeno
    diciamo

    qualcosa :D

    Sai com'e'. Se non ci sono le parole Windows
    o Linux la gente non si scalda.

    Ma questa GRID sara basata su Windows 98 o
    Windows XP?E os indipendentfine del flame
  • Anonimo scrive:
    Re: GRID
    - Scritto da: Lucrezia
    Dai ragazzi, almeno un commento sul grid...Le guerre macachi, linari, winari tirano di più....
  • Anonimo scrive:
    roba grossa il grid..
    se davvero sfruttassero il potenziale insito nella rete, credo si arriverebbe a 1.000.000.000.000.000.000.000.000......+ teraflop ;-)
  • Lucrezia scrive:
    Re: GRID
    Sol menaito e sulla macarena
  • Anonimo scrive:
    Re: GRID
    - Scritto da: Lucrezia
    Dai ragazzi, almeno un commento sul grid...
    Già han perso tempo a inserire
    l'articolo nel sito, adesso almeno diciamo
    qualcosa :DSai com'e'. Se non ci sono le parole Windows o Linux la gente non si scalda.Ma questa GRID sara basata su Windows 98 o Windows XP?
  • Anonimo scrive:
    Re: GRID
    - Scritto da: Lucrezia
    Dai ragazzi, almeno un commento sul grid...
    Già han perso tempo a inserire
    l'articolo nel sito, adesso almeno diciamo
    qualcosa :D

    Benvenga il grid. Io lo adoro
    Amo SETI@home e nn vedo perchè non
    abbracciare questi tentativi di dar vita a
    una cosa europeaanche a me piace il grid, lo voglio :p (quanto costa?) :)(win)(linux)(apple)(troll)
  • Lucrezia scrive:
    GRID
    Dai ragazzi, almeno un commento sul grid... Già han perso tempo a inserire l'articolo nel sito, adesso almeno diciamo qualcosa :DBenvenga il grid. Io lo adoroAmo SETI@home e nn vedo perchè non abbracciare questi tentativi di dar vita a una cosa europea
Chiudi i commenti