[gl-como] [Fwd: Fwd: [IxT] Sicurezza: immagini JPEG, mega-falla per Windows]

[Matteo Cavalleri]

Che notizia! mi verrebbe da dire che mi ride proprio il * ... ;-)))
Sul sito MS viene fuori che ti devi scaricare praticamente una patch 
*per_ogni* prodotto (xp, office, project, internet explorer, etc. etc.)
Perchè loro non sono mica come quei "cantinari" dell'open-source...

a stasera, ci organizziamo x la fiera....
Matteo

>
> Adesso non ci si puo' fidare piu' neppure delle immagini. Infatti può 
> essere sufficiente visualizzare un'immagine nel popolarissimo formato 
> JPEG per infettare un computer Windows. Questo nuovo traguardo del 
> progresso informatico e' stato annunciato da Microsoft ieri 
> (14/9/2004). I dettagli tecnici sono disponibili qui:
>
> http://www.microsoft.com/security/bulletins/200409_jpeg.mspx
>
> e in forma ancora piu' tecnica qui:
>
> http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
>
> Ulteriori informazioni, appena disponibili, saranno catalogate qui:
>
> http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0200
>
> Microsoft consiglia ai propri utenti Windows XP di aggiornare subito 
> il proprio software con Windows Update. Sono a rischio anche gli 
> utenti di varie versioni di Microsoft Office, per i quali c'e' un 
> apposito aggiornamento.
>
> Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98, 
> 98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il 
> Service Pack 2. Un elenco delle versioni di Windows e dei numerosi 
> programmi vulnerabili e' fornita da Microsoft, insieme ai link per 
> l'aggiornamento, presso il secondo dei link citati sopra.
>
> La vulnerabilita' e' considerata "critica" da Microsoft, dato che 
> rende appunto sufficiente la visualizzazione di un'immagine (per 
> esempio in Internet Explorer o in Outlook o in un documento Office) 
> per permettere all'aggressore di fare quel che gli pare al PC del 
> bersaglio.
>
> Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente 
> Windows basta visitare un sito Web contenente un'immagine 
> appositamente confezionata, oppure ricevere l'immagine in un e-mail o 
> via chat e aprirla/visualizzarla. E' una falla _grave_.
>
> Al momento non mi risultano disponibili dimostrazioni pubbliche del 
> funzionamento di questa vulnerabilita'.
>
> E' dunque il caso di smettere di scaricare immagini? Dobbiamo metterci 
> a tremare ogni volta che ci arriva una foto da un amico o sfogliamo 
> una pagina Web? Per adesso no, ma nei prossimi giorni si'.
>
> La ragione e' semplice: ora che la falla e' stata annunciata, gli 
> aggressori (sia quelli che agiscono per puro vandalismo, sia quelli 
> che agiscono con fini di lucro, come spammer e pornovendoli) si 
> daranno da fare per scoprire il funzionamento della falla e sfruttarla 
> (alcuni probablmente l'hanno gia' fatto). E' quindi assolutamente 
> indispensabile scaricare e installare gli aggiornamenti di sicurezza 
> predisposti da Microsoft.
>
> Gli utenti Mac e Linux al momento non risultano affetti da questo 
> problema, che ricorda (in peggio) il recente allarme che li aveva 
> colpiti per l'immagine ammazzabrowser, quella in formato PNG, gia' 
> descritta in questa newsletter. Mentre nel caso della falla Mac e 
> Linux il risultato era il collasso del browser, senza possibilita' di 
> infezione e senza danni permanenti al sistema operativo, nel caso di 
> questa falla di Windows l'immagine non si limita ad ammazzare il 
> browser, ma consente di infettare permanentemente il sistema operativo.
>
> Per il vostro bene e per quello della Rete, insomma, se usate Windows, 
> aggiornatelo. Aggiornatelo SUBITO.
>
> Ciao da Paolo.
>
>
> -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
> (C) 2004 by Paolo Attivissimo (www.attivissimo.net 
> <http://www.attivissimo.net/>).
> Distribuzione libera, purché sia inclusa la presente dicitura.
>
/
/