News: tutti i segreti di Internet

Vulnerabilità in MSN Messenger e Word

Condividi:         Xanathar 13 Luglio 04 @ 13:00 pm

Microsoft non si fa mancare nulla e recupera subito il terreno perso. Si scopre così che la vulnerabilità di Mozilla scoperta pochi giorni orsono, colpisce anche alcuni prodotti Microsoft : MSN Messenger e Microsoft Word.

Entrambe le applicazioni non restringono correttamente l'accesso alla URI "shell:", una funzionalità usata da utenti e software per lanciare programmi associati a una particolare estensione.
Un malintenzionato potrebbe lanciare un programma associato a una certa estensione utilizzando link contenuti in un documento o spediti in un messaggio con MSN. Tuttavia Secunia "rassicura" che comunque l'attaccante non sarebbe in grado di inviare comandi al programma così lanciato.

Se necessario Microsoft potrebbe fornire una patch a questi problemi.
Intanto, come sempre, si limita a esprimere il proprio disgusto verso la diffusione pubblica di queste informazioni, che (dice) potrebbe consentire a malintenzionati di portare avanti un attacco. E magari potrebbe (non dice) creare ulteriore avversione verso i suoi prodotti, proprio pochi giorni dopo aver assistito alla prima flessione (dal 1999 a oggi) nella diffusione di Internet Explorer tra i browser proprio per motivi di sicurezza.

Intanto su seclists.org qualcuno ha già evidenziato che si potrebbe utilizzare questo exploit per sfruttare dei conosciuti buffer overflow.

E io personalmente mi chiedo cosa possa succedere passando dei parametri ad-hoc a cmd.exe..

Nel frattempo (e anche dopo la fix) è bene verificare sempre il contenuto dei link prima di cliccarci sopra, specialmente se li ricevete su un instant messenger..

InfoWorld (qui in italiano)

SecLists.org (qui in italiano)



Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: