Word semina dati, OE diventa un ariete

Nell'ultima settimana sono emersi nuovi problemi di sicurezza per MS Word e Outlook Express. Nel primo caso a rischio i dati, nel secondo il controllo della posta


Roma – MS Word e Outlook Express, due fra i più diffusi prodotti di Microsoft, sono di nuovo oggetto di attenzione da parte degli esperti di sicurezza per due problemi che, in entrambi i casi, potrebbero minacciare la sicurezza degli utenti. Mentre per Outlook Express non si può parlare di una vera e propria falla, nel caso di Word, Microsoft ha già ammesso l’esistenza del bug e si è detta al lavoro per trovare una soluzione.

La vulnerabilità di Word, riportata circa una settimana fa sulla mailing-list di sicurezza Bugtraq, può essere sfruttata da un aggressore per creare un documento contenente un campo dinamico nascosto che, come quello denominato “IncludeText”, abbia accesso al disco dell’utente: attraverso uno di questi campi potrebbe infatti essere possibile, per una persona malintenzionata, aprire un determinato file sulla macchina della vittima e far sì che il suo contenuto, o una sua parte, venga inglobato all’interno del documento stesso. Per poter disporre delle informazioni così rubate, l’aggressore deve però contare sul fatto che la vittima, una volta aperto e salvato il documento, glielo faccia avere indietro (ad esempio, per e-mail).

Questa vulnerabilità, che secondo gli esperti di sicurezza non è in alcun modo legata alle macro di Word, è mitigata da diversi fattori: il primo, già citato, è il fatto che la vittima deve aprire, modificare e salvare il documento e poi rispedirlo al mittente; il secondo, è che il meccanismo sembra funzionare bene solo con Word 97, mentre per le versioni 2000 e 2002 Microsoft sostiene che l’aggressore dovrebbe persuadere la vittima a stampare il documento; il terzo è dato dal fatto che l’aggressore deve già conoscere il nome del file da rubare e il suo percorso.

Come si può dunque vedere, il fattore di rischio, seppur esistente, è molto basso, e circoscritto ad una limitata casistica di utenti: in special modo chi collabora alla stesura di un documento con altre persone.

Più serio, anche se non direttamente imputabile a Microsoft, è il problema di sicurezza scoperto in Outlook Express dalla società antivirus Beyond Security. In un recente advisory questa ha infatti spiegato che la funzionalità offerta da Outlook Express per dividere un messaggio di e-mail in più parti potrebbe essere sfruttata da malintenzionati per aggirare una grande varietà di filtri SMTP – inclusi antivirus e firewall – normalmente utilizzati per bloccare virus e altre forme di codice malizioso.

Nel momento in cui un messaggio viene frammentato in parti più piccole, il suo contenuto – secondo Beyond Security – diviene infatti invisibile a molti dei più comuni motori di scansione antivirus: il risultato è che tutti i più comuni worm, solitamente filtrati direttamente sui server di posta, potrebbero facilmente superare ogni controllo e farsi strada fino alle mailbox degli utenti.

“Questo difetto generico influenza potenzialmente tutti i software per il controllo del contenuto SMTP”, ha commentato Aviram Jenik, CEO di Beyond Security. “Quello che è più allarmante di questo attacco è il fatto che non sono richiesti particolari strumenti d’attacco: qualsiasi utente di Outlook Express può sfruttare questa falla per superare, con un solo clic del mouse, un software per il filtraggio del contenuto vulnerabile”.

La possibilità di inviare e-mail divise in più parti non è una funzione proprietaria di Outlook Express ma una parte dello standard MIME conosciuta come “Message Fragmentation and Reassembly” e descritta nell’ RFC 2046 . Gli esperti sono dunque concordi nel dire che il problema, dunque, non sta nel client e-mail di Microsoft, ma negli scanner e nei filtri di sicurezza che non sanno riconoscere e bloccare i messaggi frammentati. Alcuni dei produttori dei più noti software di questo tipo hanno infatti già rilasciato patch e aggiornamenti che eliminano questa pericolosa lacuna.

Secondo Beyond Security il problema è emerso proprio in conseguenza del fatto che Outlook Express è, oltre che uno dei client di posta elettronica più diffuso al mondo, anche il primo ad offrire agli utenti la possibilità di frazionare un messaggio con un semplice clic del mouse.

La società di sicurezza GFI ha recentemente informato Punto Informatico di aver integrato nel suo test gratuito per la posta, l’ Email Security Test , la verifica di questa nuova vulnerabilità.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Bene!
    Ora mi sembra giusto punire tutti per la pirateria, facendo pagare di più i supporti, più che giusto, così invogliamo anche quei pochi che non lo fanno a farlo
    • Anonimo scrive:
      Punirli TUTTI per educarne forse 1: buffoni!
      - Scritto da: Piratone
      Ora mi sembra giusto punire tutti per la
      pirateria, facendo pagare di più i supporti,
      più che giusto, così invogliamo anche quei
      pochi che non lo fanno a farloOrmai non sanno + cosa fare per proteggerei diritti di autore e chi ci sciacalla sopra(leggi S.I.A.E.)Sperco ci sia qualche spirito democratico e garantista al parlamento!
      • Anonimo scrive:
        Re: Punirli TUTTI per educarne forse 1: buffoni!

        Sperco ci sia qualche spirito democratico e
        garantista al parlamento!Si, aspetta e sperca...Al massimo qualche garagista...
  • Anonimo scrive:
    Giusto: altrimenti ci rimettono tutti! Garantismo?
    Bisogna che i politici ci pensino bene!In quel disegno ci vanno a pagare anche coloro che non fanno alcun atto di pirateria.Del resto la legge italiana presuppone che tutti siano innocenti fino a prova contraria!Ma con questo ragionamento ci considerano tutti Pirati?E' offensivo questo!Dove è finito il Garantismo ?
  • Anonimo scrive:
    Io sono contento
    Io sono contento, almeno si legalizza la pirateria, e io posso scaricarmi gli mp3 e metterli su un cd-r anche se lo pago di più.. almeno non mi fanno il culo se mi beccano.ciao ciao smaroni!
    • Anonimo scrive:
      Re: Io sono contento
      Il problema è che la pirateria rimarrà illegale: tu paghi per quelli che non prendono e se ti prendono rischi lo stesso. Se con 2 euro a CD legalizzasero la pirateria, ben venga, Risparmio in media 18 euro a CD audio, e molto di più per CD software...
  • Anonimo scrive:
    ...
    questo governo deve cadere... berlusconi e' un politico da quattro soldi..
    • Anonimo scrive:
      Re: ...
      Il probelma non è che è un politico da quatto soldi, ma da 4 miliardi di euro (non postate la cifgra esatta, è tanto per dire) - e con quelli si compra chi vuole...
    • Anonimo scrive:
      Re: ...
      - Scritto da: Sergio
      questo governo deve cadere... berlusconi e'
      un politico da quattro soldi..magari fosse solo quello... ho paura che il problema è che la SIAE fa quello che vuole, Berluska o no. (scritto da uno a cui Beluska non sta simpatico)
    • Anonimo scrive:
      Re: ...
      E aggiungerei:non esistono più le mezze stagioninon si trova mai parcheggio in centrose ne vanno sempre i migliorinon fanno più le automobili di una voltasi stava meglio quando si stava peggio
    • Anonimo scrive:
      Re: ...
      ...perché, il Berlusca è un politico?
  • Anonimo scrive:
    Ma Folena...
    ...non era tra i promotori della nuova legge (settembre 2000, centro-sinistra al governo) sul diritto d'autore, quella, per intenderci, che prevede la pena della reclusione da 6 mesi a 3 anni per chi utilizza un software pirata? (Vi ricordo che per molestie su minori la pena prevista dal codice penale è inferiore... insomma, per lo Stato è più pericoloso un ragazzino che ha sul suo PC un software pirata di un molestatore di bambini: potere dei soldi!).Quella legge fu votata da tutte le forze politiche, esclusi rifondaizone e verdi, ma ds compresi...
    • Anonimo scrive:
      Re: Ma Folena...

      utilizza un software pirata? (Vi ricordo che
      per molestie su minori la pena prevista dal
      codice penale è inferiore...Non è vero, è da 6 mesi a tre anni, quindi uguale.
      Quella legge fu votata da tutte le forze
      politiche, esclusi rifondaizone e verdi, ma
      ds compresi...E' vero. Ma non mi sembra che Folena si stia rimangiando le parole. Promuovere l'open source non significa legittimare la pirateria. Ergo, mi sembra che le due proposte (quella del 2000 e quella avanzata oggi) siano perfettamente compatibili: si promuove il free software e si continua a garantire la legalità nell'uso del software proprietario, prescrivendo le pene nel caso di pirateria. Qual è il problema?La critica semmai dovrebbe essere mossa al disinteresse per il software free che ha regnato nel passato, da parte di tutte le forze politiche, sinistra compresa. Si può rimproverare a Folena di essersi ricordato dell'open source solo adesso. Però, che la sinistra avesse legiferato per l'uso legale del software proprietario mi sembra assolutamente normale: non era certo un campo che poteva essere lasciato scoperto, con la sola pretesa che "tanto esiste il software free". Non vedo come i due argomenti possano cozzare.
    • Anonimo scrive:
      Re: Ma Folena...

      Vi ricordo che per molestie su minori la pena
      prevista dal codice penale è inferiore... insomma,
      per lo Stato è più pericoloso un ragazzino che ha
      sul suo PC un software pirata di un molestatore di
      bambini: potere dei soldi!).Anzi, pardon, mi correggo:se intendevi molestie sessuali la pena è dai 6 ai 12 anni (Legge 15 febbraio 1997 n. 66, art. 4)
  • Anonimo scrive:
    Basta polemiche, plz !!! Costruttività instead !
    Col mio gruppo (http://www.cancrena.tk/) abbiamo rilasciato il nostro primo CD su licenza Open Audio (http://www.eff.org/IP/Open_licenses/eff_oal.html), ma comunque la SIAE ci ha "estorto" il prezzo per i bollini (che in linea teorica non sarebbero serviti).Proposta di legge: perchè lo stato non applica degli sgravi fiscali (es. esenzione ENPALS per 6 mesi o più) a chi rilascia lavori con licenze free ??
  • Anonimo scrive:
    clap clap folena
    bene, finalmente un politico si muove su questa scandolosa tassa, che (a mio parere) legalizza la pirateria, in maniera squallida.via la tassa dai cd vergini!!!e poi magari in un secondo tempo riusciremo anche a modificare la siae in (Society for the Internet Autoproduction E-music)Per tutti i nuovi autori,AUTOPRODUCETEVI!!!AUTODISTRIBUITE!!!(in tutti i campi, dal cinema alla musica)
  • Anonimo scrive:
    Basta comprare i CD-R al duty-free
    In italia non si trovavano più i pacchi da 100 da una vita, ma al duty free a Manchester c'erano e sapendo di questo aumento imminente ne ho comprati 4 a 23 pound ciascuno, quando qui i più economici che ho trovato costavano 19 Euro ed erano pacchi da 50.Così per un pò ho la scorta e gliel'ho messo nel culo.
    • Anonimo scrive:
      Re: Basta comprare i CD-R al duty-free
      vero, mi pare abbastanza comodo il duty free di manchaster, però mi è giunta voce che negli EAU si risparmia qualche pound sui pacchi da 100, direi di fare scorta la, che ne dite?
      • Anonimo scrive:
        Re: Basta comprare i CD-R al duty-free
        Adesso do un'occhiata a quanto costano in Svizzera, se poi diventa conveniente organizzo un contrabbando di CD, ho bisogno di un po' di gente per venderli per strada però... :-)
        • Anonimo scrive:
          Re: Basta comprare i CD-R al duty-free
          - Scritto da: ldsandon
          Adesso do un'occhiata a quanto costano in
          Svizzera, se poi diventa conveniente
          organizzo un contrabbando di CD, ho bisogno
          di un po' di gente per venderli per strada
          però... :-)Non preoccuparti, probabilmente ci hanno già pensato: se passerà questo criminale provvedimento vuol dire che i marocchini, oltre ai cd della playstation, venderanno per strada anche quelli vuoti. Alla faccia della SIAE.
      • Anonimo scrive:
        Re: Basta comprare i CD-R al duty-free
        - Scritto da: Il Lordo
        vero, mi pare abbastanza comodo il duty free
        di manchaster, però mi è giunta voce che
        negli EAU si risparmia qualche pound sui
        pacchi da 100, direi di fare scorta la, che
        ne dite?Si. E già che che ci sei ti conviene fare il pieno alla macchina...
  • Anonimo scrive:
    Dove vanno i soldi di un CD...
    http://www.dei.unipd.it/~smani/cd.htmlE' un'analisi del prezzo di un cd che ho fatto qualche tempo fa. Forse puo' servire a chiarire un po' le idee...bye, Andrea
  • Anonimo scrive:
    Che si mettano prima d'accordo tra di loro
    L'onorevole Giulietti, sempre dei DS, a febbraio ha fatto una interrogazione parlamentare in cui affermava il contrario di quello che afferma ora il suo compagno di partito Folena.Mettersi d'accordo prima su cosa dire è così difficile all'interno dello stesso partito?
    • Anonimo scrive:
      Re: Che si mettano prima d'accordo tra di loro
      - Scritto da: Eh, la politica...
      L'onorevole Giulietti, sempre dei DS, a
      febbraio ha fatto una interrogazione
      parlamentare in cui affermava il contrario
      di quello che afferma ora il suo compagno di
      partito Folena.
      Mettersi d'accordo prima su cosa dire è così
      difficile all'interno dello stesso partito?è dall'ultima campagna elettorale che cercano di mettersi d'accordo...bah... sono pessimista...
  • Anonimo scrive:
    Copiare ???
    Ma poi perche' quando si parla di CD registrabili, anche nell'ambito dell'utilizzo_legale_ questa gente crede sempre che vengano utilizzati per _copiare_ qualcosa ("fare copie di backup dei propri programmi e musica" ma chi e' che lo fa ancora?) ???I CD, se utilizzati legalmente, servono anche e soprattutto a _creare_ , a maggior ragione oggi dove i media digitali si stanno diffondendo sempre di piu': archiviare le _PROPRIE_ (e non copiare quelle di qualcun altro...) fotografie digitali ricordo scattate con la compattina(altrimenti dove si conserverebbero ?), fare VCD dai filmini delle telecamere digitali, archiviare i propri documenti, il materiale _legale_ (sfondi del desktop, temi di windows, shareware, freeware...) scaricato da internet (oggi per chi possiede ADSL o Fastweb e' molto facile riempire un HD...) ecc... ecc..Ormai uso un CDRW anche per scambiare documenti word (quando il destinatario non dispone di una connessione veloce), perche' mi fido molto di piu' che di un floppy (e non ho voglia di comprare le memorie USB)Perche' questo discorso che sembra OT ? Per il semplice fatto che se la gente che fa le leggi recepisse che il CDR non e' un mezzo che serve solo a "copiare" qualcosa fatto da altra gente, capirebbero ancor meglio l'assurdita' di una simile tassazione...
  • Anonimo scrive:
    SIAE E MAFIA
    Il paragone regge....Abbassate il prezzo dei cd anzi facciamo in modo che gli autori diffondano da soli la propria musica dai propri siti, una intera categoria di sfruttatori non serve più. Ai cantanti non mancherà il pane....
  • Anonimo scrive:
    balzelli
    Per quanto riguarda la pirateria musicale ... potrebbe essere sufficiente abbassare i prezzi dei cd, magari intervenendo sull'iva portandola dal 20% al 4%.Ma in Italia e nel Mondo ... gli interessi sono troppo alti e vanno ben oltre il desiderio di eliminare la pirateria.
    • Anonimo scrive:
      Re: balzelli
      non credo proprio!il cd costerebbe cmq 17 euro! troppi x un cd di musica!certo, morendo la siae potrebbero costare 2 euro e i cantanti sarebbero ugualmente ricchi!
    • Anonimo scrive:
      Re: balzelli
      Ma perchè l'iva al 4%?fossero beni artistici, ok, ma ormai i cd musicali sono un esclusivo BUSINESS, non hanno quasi piu' niente di artistico, sono solo beni commerciali, quindi è giusto che paghino l'iva come qualsiasi bene in commercio.Nomi come britney spears, alizee, mary j blidge, ecc ti sembrano artisti?
  • Anonimo scrive:
    Società Italiana Anonima Estorsioni?
    Vi farà piacere sapere che c'è un disegno di legge, appena presentato, intitolato "Eliminazione del regime di monopolio nell'intermediazione dei diritti d'autore".Il testo è consultabile al seguente indirizzo:http://www.senato.it/leg/14/Bgt/Schede/Ddliter/17686.htm
    • Anonimo scrive:
      Re: Società Italiana Anonima Estorsioni?
      YUPPIIIII!Sperando che passi! =)
      • Anonimo scrive:
        Re: Società Italiana Anonima Estorsioni?
        Così il Berlusca si farà la sua concessionaria!Evvai, un altro pacco di MegaEuro!Altro che conflitto di interessi, qui c'è una mirabile concordanza di interessi...(Pensar male SI PUO')- Scritto da: unoacaso
        YUPPIIIII!

        Sperando che passi!

        =)
        • Anonimo scrive:
          Re: Società Italiana Anonima Estorsioni?
          - Scritto da: Ottav(i)o Nano
          Così il Berlusca si farà la sua
          concessionaria!Ok, non vuoi il conflitto di interessi di Silvio I, l'importante x ora è la fine del monopolio SIAE.dove si possono trovare siti che raccolgono i cantanti emergenti, quelli che ti fanno ascoltare la loro musica x farsi conoscere ?non mi dite vitaminiC ...
    • Anonimo scrive:
      Re: Società Italiana Anonima Estorsioni?

      Società Italiana Anonima Estorsioni?Semplicemente geniale! ;-)
  • Anonimo scrive:
    Abolire La SIAE
    Che si aspetta a smantellare questo ente?Chi legge "Libero" Il giornale di Feltri? Tempo fa uscì un articolo sulla SIAE che la diceva lunga su questo ente.
    • Anonimo scrive:
      Re: Abolire La SIAE
      Va là, che forse questa è la volta buona!La Lega da sempre odia a morte la SIAE e ha pure fondato una contro-SIAE padana!E al Berslusca non credo faccia piacere il pizzo ingiustificato a cui è soggetto sulle sue reti!I presupposti sono ottimi, direi!!!
      • Anonimo scrive:
        Re: Abolire La SIAE
        Massì buttiamola sul politico che non guasta mai...Viva la siae, quel branco di brave persone che non fanno nulla dalla mattina alla sera, e tutti quelli che hanno la tessera ed entrano gratis dove gli pare!!...:PPPP
        Va là, che forse questa è la volta buona!
        La Lega da sempre odia a morte la SIAE e ha
        pure fondato una contro-SIAE padana!
        E al Berslusca non credo faccia piacere il
        pizzo ingiustificato a cui è soggetto sulle
        sue reti!

        I presupposti sono ottimi, direi!!!
Chiudi i commenti