[Forumlucca] Sicurezza: immagini JPEG, mega-falla per Window…

Delete this message

Reply to this message
Autor: Marcantonio
Data:  
Assumpte: [Forumlucca] Sicurezza: immagini JPEG, mega-falla per Windows
anche se apparentemente non sembra in tema con il forum leggetela bene
perchè la sicurezza dei nostri computer è alla base della sicurezza
dell'intera mailing senza parlare della privacy

ciao
marcantonio


*** E' ricercando l'impossibile che l'uomo ha sempre realizzato il
possibile.
Coloro che si sono limitati a ciò che appariva loro come possibile, non
hanno mai avanzato di un solo passo - Michail A. Bakunin***



Inizio del messaggio inoltrato:

Rinvia-Da: internetpertutti@???
Da: Paolo Attivissimo <topone@???>



Questa newsletter vi arriva grazie alle gentili donazioni di "a.passi",
"luigi.ponzi***" e "samuele".

Adesso non ci si puo' fidare piu' neppure delle immagini. Infatti può
essere sufficiente visualizzare un'immagine nel popolarissimo formato
JPEG per infettare un computer Windows. Questo nuovo traguardo del
progresso informatico e' stato annunciato da Microsoft ieri
(14/9/2004). I dettagli tecnici sono disponibili qui:

http://www.microsoft.com/security/bulletins/200409_jpeg.mspx

e in forma ancora piu' tecnica qui:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

Ulteriori informazioni, appena disponibili, saranno catalogate qui:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0200

Microsoft consiglia ai propri utenti Windows XP di aggiornare subito il
proprio software con Windows Update. Sono a rischio anche gli utenti di
varie versioni di Microsoft Office, per i quali c'e' un apposito
aggiornamento.

Non sono a rischio, secondo Microsoft, gli utenti di Windows NT, 98,
98SE, ME, 2000 e chi ha Windows XP ed è già riuscito ad installare il
Service Pack 2. Un elenco delle versioni di Windows e dei numerosi
programmi vulnerabili e' fornita da Microsoft, insieme ai link per
l'aggiornamento, presso il secondo dei link citati sopra.

La vulnerabilita' e' considerata "critica" da Microsoft, dato che rende
appunto sufficiente la visualizzazione di un'immagine (per esempio in
Internet Explorer o in Outlook o in un documento Office) per permettere
all'aggressore di fare quel che gli pare al PC del bersaglio.

Giusto per chiarire oltre ogni dubbio: per infettarsi, a un utente
Windows basta visitare un sito Web contenente un'immagine appositamente
confezionata, oppure ricevere l'immagine in un e-mail o via chat e
aprirla/visualizzarla. E' una falla _grave_.

Al momento non mi risultano disponibili dimostrazioni pubbliche del
funzionamento di questa vulnerabilita'.

E' dunque il caso di smettere di scaricare immagini? Dobbiamo metterci
a tremare ogni volta che ci arriva una foto da un amico o sfogliamo una
pagina Web? Per adesso no, ma nei prossimi giorni si'.

La ragione e' semplice: ora che la falla e' stata annunciata, gli
aggressori (sia quelli che agiscono per puro vandalismo, sia quelli che
agiscono con fini di lucro, come spammer e pornovendoli) si daranno da
fare per scoprire il funzionamento della falla e sfruttarla (alcuni
probablmente l'hanno gia' fatto). E' quindi assolutamente
indispensabile scaricare e installare gli aggiornamenti di sicurezza
predisposti da Microsoft.

Gli utenti Mac e Linux al momento non risultano affetti da questo
problema, che ricorda (in peggio) il recente allarme che li aveva
colpiti per l'immagine ammazzabrowser, quella in formato PNG, gia'
descritta in questa newsletter. Mentre nel caso della falla Mac e Linux
il risultato era il collasso del browser, senza possibilita' di
infezione e senza danni permanenti al sistema operativo, nel caso di
questa falla di Windows l'immagine non si limita ad ammazzare il
browser, ma consente di infettare permanentemente il sistema operativo.

Per il vostro bene e per quello della Rete, insomma, se usate Windows,
aggiornatelo. Aggiornatelo SUBITO.

Ciao da Paolo.


-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
Distribuzione libera, purché sia inclusa la presente dicitura.

Se ti piace quello che leggi, fallo sapere in giro, e mandami un po' di
focaccia!

Commenti, correzioni o risposte? Scrivimi presso topone@???.

Questa newsletter viene distribuita gratuitamente e senza pubblicità
grazie a Peacelink.it;
è e sarà sempre gratuita, ma donazioni e sponsorizzazioni sono sempre
ben accette: http://www.attivissimo.net/donazioni/donazioni.htm

Per ricevere/disdire la newsletter e per l'informativa sulla privacy:
http://www.attivissimo.net/nl/nl_istruzioni_iscrizione.htm









-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        text/enriched
Dimensione:  4694 bytes
Descrizione: non disponibile
Url:         https://www.inventati.org/mailman/public/forumlucca/attachments/20040916/8a10a48a/attachment.bin