Microsoft, sette anni per una patch

Il "patch day" di novembre chiude finalmente una falla scoperta nel marzo del 2001.

[ZEUS News - www.zeusnews.it - 13-11-2008]

Microsoft patch day novembre sette anni Smb

Una volta al mese, di martedì, Microsoft rilascia gli aggiornamenti per i propri sistemi operativi chiudendo quelle falle che ne compromettono la sicurezza.

Due sono le vulnerabilità corrette con il patch day di novembre.

Una, descritta nel bollettino Ms08-69, riguarda la falla peggiore (classificata come critica): a causa di un bug nei Microsoft Xml Core Services, i sistemi da Windows 2000 a Windows Server 2008, passando per Xp Sp3 e Vista, sono esposti all'esecuzione di codice da remoto.

Più interessante, anche se meno preoccupante (è infatti classificata come importante per Windows Xp, 2000 e Server 2003 e moderata per Vista e Server 2008) è la vulnerabilità individuata nel Microsoft Server Message Block (SMB) Protocol, che potrebbe ugualmente portare all'esecuzione di codice da remoto.

Se l'utente non possiede diritti amministrativi (sebbene sarebbe bello sapere quanti siano gli utenti che riescono a lavorare con Windows senza i privilegi dell'account Administrator), la falla desta ancora meno preoccupazione: i danni possibili sono molto limitati.

Ma in realtà quest'ultimo bug deve essere proprio insignificante se, come segnala PcWorld, Microsoft ha ritenuto di poter aspettare più 7 anni prima di risolverlo.

La prima volta che è stato segnalato, infatti, è datata marzo 2001: un hacker, Josh Buchbinder, scoprì la falla e pubblicò il codice necessario per portare l'attacco.

Da allora sono nati stati anche scritti dei software, tra cui un modulo per Metasploit, in grado di sfruttare la vulnerabilità e prendere da remoto il controllo di un Pc senza la necessità di conoscere la password

Probabilmente Microsoft ha pensato che, visto che un firewall è sufficiente per frustrare ogni tentativo di violazione, gli utenti potevano anche aspettare un po' prima che il problema venisse risolto.

Tuttavia diversi esperti di sicurezza, tra cui Eric Schultze di Shavlik Technologies, hanno fatto notare come all'interno di una rete aziendale, dove è normale la condivisione di file e stampanti, la presenza di una falla come questa è potenzialmente molto pericolosa, se non addirittura critica.

In ogni caso, sette anni (e mezzo) per una patch sono davvero un po' troppi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 6)

{Roberto}

Not administrator user Leggi tutto
21-11-2008 21:15

merlin

Sistemisti, politici e il "corollario Andreotti". Leggi tutto
15-11-2008 14:13

MItaly2

Non è difficile... per la maggior parte del lavoro di tutti i giorni si può usare un normale account limitato, per installare programmi ed effettuare manutenzione del sistema un account amministratore (magari usando la comodissima funzione "Esegui come..."). Leggi tutto
13-11-2008 15:43

RunAway

Botnet ti dice niente? E se anche nessuna intrusione avesse riguardato questi due bug, a Redmond di certo non hanno la sfera di cristallo per decidere di poter star tranquilli + di 7 anni. Leggi tutto
13-11-2008 09:59

ignazio

Obiezione Leggi tutto
13-11-2008 09:56

Leggi gli altri 1 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) Commodore è pronta a vendersi a un fan: potrebbe finire nelle mani di uno youtuber	News(12 commenti) Il DNS europeo che promette di tutelare i dati personali

News(10 commenti)

SPID, dopo Aruba anche InfoCert diventa a pagamento

News(17 commenti)

Guarda film pirata? Rischi fino a 5.000 euro di multa

News(20 commenti)

Photoshop sbarca su Android ed è gratuito (per ora)

News(11 commenti)

L'intelligenza artificiale era un esercito di programmatori umani

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Come preferiresti controllare la Tv?