News: tutti i segreti di Internet

Sicurezza: immagini JPEG, mega-falla per Windows

Condividi:         ale 2 15 Settembre 04 @ 11:00 am

(C) 2004 by Paolo Attivissimo

Adesso non ci si può fidare più neppure delle immagini. Infatti può essere sufficiente visualizzare un'immagine nel popolarissimo formato JPEG per infettare un computer Windows. Questo nuovo traguardo del progresso informatico è stato annunciato da Microsoft ieri (14/9/2004).
I dettagli tecnici sono disponibili qui:
http://www.microsoft.com/ ... ulletins/200409_jpeg.mspx
e in forma ancora più tecnica qui:
http://www.microsoft.com/ ... ty/bulletin/MS04-028.mspx
Ulteriori informazioni, appena disponibili, saranno catalogate qui:
http://www.cve.mitre.org/ ... me.cgi?name=CAN-2004-0200
Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il proprio software con Windows Update. Sono a rischio anche gli utenti di varie versioni di Microsoft Office, per i quali c'è un apposito aggiornamento.

Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98, 98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il Service Pack 2. Un elenco delle versioni di Windows e dei numerosi programmi vulnerabili è fornita da Microsoft, insieme ai link per l'aggiornamento, presso il secondo dei link citati sopra.

La vulnerabilità è considerata "critica" da Microsoft, dato che rende appunto sufficiente la visualizzazione di un'immagine (per esempio in Internet Explorer o in Outlook o in un documento Office) per permettere all'aggressore di fare quel che gli pare al PC del bersaglio.

Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente Windows basta visitare un sito Web contenente un'immagine appositamente confezionata, oppure ricevere l'immagine in un e-mail o via chat e aprirla/visualizzarla. È una falla _grave_.

Al momento non mi risultano disponibili dimostrazioni pubbliche del funzionamento di questa vulnerabilità.

È dunque il caso di smettere di scaricare immagini? Dobbiamo metterci a
tremare ogni volta che ci arriva una foto da un amico o sfogliamo una
pagina Web? Per adesso no, ma nei prossimi giorni sì.

La ragione è semplice: ora che la falla è stata annunciata, gli aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che agiscono con fini di lucro, come spammer e pornovendoli) si daranno da fare per scoprire il funzionamento della falla e sfruttarla (alcuni probablmente l'hanno già fatto). È quindi assolutamente indispensabile scaricare e installare gli aggiornamenti di sicurezza predisposti da Microsoft.

Gli utenti Mac e Linux al momento non risultano affetti da questo problema, che ricorda (in peggio) il recente allarme che li aveva colpiti per l'immagine ammazzabrowser, quella in formato PNG, già descritta in questa newsletter. Mentre nel caso della falla Mac e Linux il risultato era il collasso del browser, senza possibilità di infezione e senza danni permanenti al sistema operativo, nel caso di questa falla di Windows l'immagine non si limita ad ammazzare il browser, ma consente di infettare permanentemente il sistema operativo.

Per il vostro bene e per quello della Rete, insomma, se usate Windows, aggiornatelo. Aggiornatelo SUBITO.

Ciao da Paolo
www.attivissimo.net



2 commenti a "Sicurezza: immagini JPEG, mega-falla per Windows":
Dylan666 Dylan666 il 15 Settembre 04 @ 20:02 pm

Grazie al sistema operativo XP cade anche il baluardo del non poter nuocere semplicemente usando un'immagine...
Siamo in attesa dei TXT che causano la formattazione e poi c'è tutto! :-/

pjfry pjfry il 15 Settembre 04 @ 21:13 pm

http://www.pc-facile.com/news.php?n=16069
non è una novità di XP... evidentemente quel programmatore è rimasto in microsoft :)

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: