Bollettino sulla sicurezza

Novità dal mondo. Pillole e links relativi a scoperte di bugs nei prodotti più famosi, aggiornamenti Microsoft per migliorare la sicurezza, articoli tecnici...

 

 

 

Microsoft ha rilasciato una patch che elimina un rischio di sicurezza in Word 2000 e 97. Il problema potrebbe permettere ad un malintenzionato di lanciare operazioni sul computer della vittima senza la sua approvazione. Piu` in dettaglio se un DB access e` specificato come sorgente DDE in un documento mail merge, la macro si attiva senza richiesta quando viene aperto il documento.

 

Patch per Word 2000: http://officeupdate.microsoft.com/2000/downloadDetails/wrdacc.htm

Patch per Word 97 ancora da rilasciare

 

 

Una mail contenente una particolare chiamata ad un ActiveX Control contenuto nell'ocx del Windows Media Player 7 puo`  bloccare il programma di posta subito dopo aver chiuso la mail incriminata. Un malintenzionato puo` sfruttare questa caratteristica per bloccare Outlook ed Outlook Express. Il problema non causa comunque effetti deleteri: basta riavviare il programma di posta e cancellare la mail che causa il problema

 

Patch: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24421

 

  Rilasciata una Re-release al problema precedente (riga sotto) di sicurezza del Client Telnet di Windows 2000

http://www.microsoft.com/technet/security/bulletin/fq00-067.asp

 

Microsoft ha rilasciato una patch che elimina un problema di sicurezza nel Client Telnet di Windows 2000. In alcune circostanze un malintenzionato puo` ricevere i dati di Logon di un altro utente. 

 

Info e Patch:

http://www.microsoft.com/technet/security/bulletin/fq00-067.asp

 

 

Rischio di denial of service in tutte le versioni di Windows 2000 (Non affetto WIN NT 4.0). Il blocco puo` essere causato da un client che invii un particolare pacchetto RPC (Remote Procedure Call) al server. I sistemi operativi connessi ad Internet sono altamente esposti a questo rischio. Il sistema resta comunque sicuro dietro ad un FireWall che blocchi le porte 135-139 e la 445. 

 

Patch:

 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24229

 

  Problema di sicurezza in Windows 2000. Un utente che ha fatto loggato nel sistema puo` eseguire del codice che utilizza il servizio "Still Image" per ottenere i permessi del servizio stesso (LocalSystem).

http://www.microsoft.com/technet/security/bulletin/fq00-065.asp

 

Microsoft ha rilasciato una patch che elimina un problema di sicurezza in Microsoft Windows Media Services. Il problema potrebbe permettere ad un malintenzionato di impedire il funzionamento di alcuni servizi del server.

Se un client invia un particolare tipo di richiesta errata ad un Windows Media Server, potrebbe indurre una condiziona anomala. Le chiamate seguenti di altri clients a questo punto non verrebbero piu` soddisfatte. Il server termina l'invio di tutti gli stream dati. Per ripristinare il funzionamento necessita riavviare il servizio (Unicast Service).

Prodotti affetti:

- Microsoft Windows Media Services 4.0

- Microsoft Windows Media Services 4.1

 

Patch:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24167

Per la versione 4.0 necessita prima passare alla 4.1 poi applicare la patch.

 

Problema di sicurezza in Internet Information Server. Possibile denial of service.

I server IIS affetti dal problema, quando ricevono un particolare tipo di URL, scatenano una serie di eventi che culminano in una richiesta di memoria riservata che causa il blocco di IIS e quindi tutti i suoi servizi web.

 

Microsoft ha rilasciato la patch:

http://www.microsoft.com/technet/security/bulletin/fq00-063.asp

  Possibile denial of service in OutLook 2000 (forse anche in versioni precedenti):

Outlook 2000 supporta la tecnologia vCard che permette di identificare il mittente di una mail. Le vCard vengono inserite come attach alla mail (quelli allegati con l'iconcina che sembra una carta di identita` americana). I dati che eccedono i 75 caratteri dovrebbero essere wrapped, ma Microsoft non ha seguito le specifiche della RFC 2426 sezione 2.6. Per questo motivo, inviando una vCard contenente un campo dati sufficientemente lungo genera un crash oppure nella migliore delle ipotesi un superlavoro per la CPU.

Nessuna patch rilasciata da Microft

   

Problema di sicurezza in PGP per Windows. La tecnologia per la cifratura con chiave addizionale (Additional Encryption Key) permette ad un intruso di inserire una chiave addizionale nalla parte non utilizzata della chiave pubblica. In questo modo L'INTRUSO PUO` DECIFRARE QUALSIASI COMUNICAZIONE CIFRATA DI TALE UTENTE !

 

=== Nessuna patch attualmente disponibile. ===

 

 

Rilasciata una patch per l'eliminazione di un problema nelle applet Java (nella Virtual Machine Microsoft). Il problema permette al proprietario di un sito di prendere l'identita` di un visitatore del suo sito ed usarla per entrare in zone Internet o Intranet a suo nome.

 http://www.microsoft.com/technet/security/bulletin/fq00-059.asp

 

 

Rilasciata una patch da Microsoft, per l'eliminazione di un problema di vulnerabilita` di Internet Information Server. Tale problema permette al proprietario di un sito di utilizzare un altro Web site come mezzo di attacco verso altri utenti. Faq e patch al seguente indirizzo:

 http://www.microsoft.com/technet/security/bulletin/fq00-060.asp

 

 

Microsoft ha rilasciato un patch che elimina problemi di vulnerabilita` in Microsoft Money. Il problema esistente permette ad estranei di ottenere la password di file dati Money.

 http://www.microsoft.com/technet/security/bulletin/fq00-061.asp

 

 

Microsoft ha rilasciato una patch che elimina 2 problemi di vulnerabilità in Internet Explorer. Il problema consiste nella possibilità che un sito possa leggere files sul computer del visitatore!

http://www.microsoft.com/technet/security/bulletin/fq00-055.asp

 

 

Microsoft ha rilasciato una patch che elimina un possibile attacco in certi prodotti Office 2000. La vulnerabilità potrebbe permettere ad un utente di costruire un file HTML che quando letto manda in crash Office 2000, ed eventualmente lanciare codice dannoso.

http://www.microsoft.com/technet/security/bulletin/fq00-056.asp

 

 

Disponibile il Service Pack 1 per Windows 2000. Comprende gli ultimi aggiornamenti alla famiglia di sistemi operativi Windows 2000. Le aree che beneficeranno maggiormente da tali aggiornamenti sono: affidabilità, compatibilità hardware e applicativa, setup e sicurezza, incluse le patch rilasciate dopo il lancio.

Il  SP1 è un aggiornamento raccomandato da Microsoft e può essere installato su macchine Windows 2000 Professional, Windows 2000 Server e Windows 2000 Advanced Server. Per maggiori informazioni: http://www.microsoft.it/italy/adv/jump.asp?cod=0015_w2ksp1

 

 

Anche l'Italia si allinea alle legislazioni dei paesi più moderni. E` stata infatti approvata la nuova legge Anti-pirateria a tutela del diritto d'autore, che prevede pene più severe per chiunque utilizza, duplica, distribuisce e vende software illegalmente. Per maggiori informazioni: http://www.microsoft.it/italy/adv/jump.asp?cod=0015_pirateria

 

 

Soluzione Microsoft per i problemi di vulnerabilità di Outlook e Outlook Express:

http://www.microsoft.it/italy/adv/jump.asp?cod=0015_outlook

 

 

Microsoft Word può eseguire codice tramite database Access.

Secondo un rapporto di Georgi Guninski, Microsoft Word può accettare un database Access 2000 come input for una operazione di mail merge. Tale DB può contenere codice VB che viene eseguito quando Word apre il DB. Tale codice può eseguire azioni sul sistema senza che l'utente ne abbia conoscenza. Microsoft è a conoscenza del problema, ma non ha elaborato alcuna soluzione.

 

 

Novità di Internet Explorer 5.5 e Accesso a Internet http://msdn.microsoft.com/voices/ie55.asp

 

 

Exchange Server: Ruoli per la protezione del Web Storage System http://msdn.microsoft.com/exchange/

 

 

 Informazioni per gli sviluppatori sull'aggiornamento della protezione per la posta elettronica CDO http://support.microsoft.com/support/kb/articles/q268/3/72.asp?FR=0&SD=MSDN

 

 

Sviluppare soluzione con le smartcard:  http://www.microsoft.com/technet/win2000/smtcard.asp

 

 

Windows 2000 and Windows NT sono vulnerabili ai Cavalli di Troia a causa del metodo in cui gli Os cercano gli eseguibili. Windows usa uno specifico ordine di ricerca per quagli eseguibili specificati nel registro. Se il registro usa path relativi invece che assoluti, un intruso può fare in modo che venga lanciato un Trojan al posto del programma dovuto. Microsoft è a conoscenza del problema ed ha rilasciato una patch:

http://www.microsoft.com/technet/security/bulletin/fq00-052.asp

http://www.microsoft.com/technet/support/kb.asp?ID=269049

 

 

Inviando un particolare pacchetto NetBios a macchine Windows, un intruso può fare in modo che tali macchine perdano il loro nome o falliscano nella registrazione di tale nome sulla rete. Tale attacco rende le macchine indisponibili agli utenti che tentano di fare accesso tramite il nome NetBios. Microsoft ha rilasciato FAQ e Patch per questo problema.

http://www.microsoft.com/technet/security/bulletin/fq00-047.asp

Pathc : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23370

 

 

Raccomandazioni e comportamento per rendere sicuro un server Web con Microsoft Windows 2000 and Internet Information Services (IIS) 5

http://www.microsoft.com/technet/security/iis5chk.asp

 

 

Un'occhiata ad un macrovirus per vedere come funziona

http://www.microsoft.com/technet/security/ro071000.asp

 

 

Descrizione dei settaggi principali per numerosi componenti Windows 2000 (registry, file system, diritti utente...)

www.microsoft.com/technet/win2000/win2ksrv/technote/secdefs.asp

 


 

Chiunque voglia collaborare con novità e notizie interessanti può inviarle facendo click sull'icona al lato.

Non modificare il titolo preimpostato.