Punto informatico Network

Domanda

Microsoft patch: falla nell'help

01/06/2004
- A cura di
Zane.
Archivio - Come ormai avviene con consuetudine mensile, Microsoft ha rilasciato anche questo mese un aggiornamento per i propri sistemi operativi di punta.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

microsoft (1) , patch (1) , falla (1) , help (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 125 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Come ormai avviene con consuetudine mensile, Microsoft ha rilasciato anche questo mese un aggiornamento per i propri sistemi operativi di punta.

Ancora una volta si tratta di hotfix di sicurezza: benché si tratti di una falla potenzialmente pericolosa, vi sono alcuni elementi che mitigano la superficie d'attacco. La falla non è quindi stata classificata come "Critical", ma bensì "Important", lo scalino di urgenza precedente.

Il problema risiederebbe nel sistema di guida di Windows: i nuovi "Guida in linea e Supporto Tecnico" dispongono infatti un meccanismo di linking denominato HCP, che permette di muoversi più agevolmente all'interno di pagine differenti, inserendo hyperlink proprio come su web.

Purtroppo i dettagli divulgati su questa vulnerabilità sono molto lacunosi: stando a quanto dichiarato da Microsoft, un utente ostile potrebbe creare una pagina web studiata ad hoc che, una volta visitata, permetterebbe al cracker di eseguire codice a propria scelta, e quindi guadagnare il pieno controllo della macchina.

La stessa pagina web potrebbe essere spedita anche via posta elettronica: qualora l'aggressore scegliesse di utilizzare il formato HTML Mail infatti, la missiva sarebbe una pagina web a tutti gli effetti.

Sebbene non siano stati rilasciati ulteriori dettagli, è ragionevole pensare che il problema risieda nella motore di guida, e quindi non sia possibile mettersi al riparo semplicemente utilizzando browser differenti da Internet Explorer o mailer alternativi a Outlook Express.

Oltre a fixare il problema della guida, questa patch apporta altre due modifiche degne di nota.

È stato eliminato innanzitutto la possibilità di aggiornare automaticamente il decoder DVD. Una mossa significativa e, si spera, nella giusta direzione: Microsoft una volta tanto mette in secondo piano una funzionalità, in favore della sicurezza. Era ora.

Stesso discorso per quanto riguarda una funzionalità semisconosciuta che propone all'utente di inviare sulla rete alcune informazioni relative al nuovo hardware installato: nella stessa ottica di maggior protezione "preventiva", la patch rimuove anche questa opzione.

I sistemi interessati sono Windows XP e Windows Server 2003: nonostante ereditino il kernel da Windows 2000, questa versione del sistema operativo è immune dal problema, come pure Windows 98/98SE/ME.

Sebbene al momento non siano ancora disponibili script che sfruttino questa vulnerabilità, né siano stati segnalati attacchi, raccomandiamo vivamente di installare l'update alla prima occasione: la mancanza di dettagli relativi al problema e la possibilità di eseguire codice da remoto fanno di questa falla un possibile problema. In altre parole, non sembra essere una di quelle grosse, ma meglio prevenire.

  • Windows XP ITA
  • [URL="http://download.microsoft.com/download/a/f/a/afa937e7-e7f4-4fe8-8324-6e322f7ab542/Windows XP-KB840

    374-x86-ENU.EXE"]Windows XP ENG

  • Windows Server 2003 ITA
  • Windows Server 2003 ENG
  • .

    Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

      • Gen. pagina: 0.44 sec.
      •  | Utenti conn.: 90
      •  | Revisione 2.0.1
      •  | Numero query: 18
      •  | Tempo totale query: 0.27