On Friday 06 January 2006 00:46, Andrea Pescetti wrote: > Nella descrizione della patch da poco rilasciata Microsoft dice che > la risposta alla mia prima domanda e' si' (fino a ieri diceva di no, > lascio sotto al messaggio la vecchia versione): "An attacker could > also attempt to exploit this vulnerability by embedding a specially > crafted Windows Metafile (WMF) image within other files such as Word > documents and convince a user to open this document". > http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx > > Mi rimane il secondo dubbio: aprendo un file .DOC (contenente un file > .WMF) che fa scattare l'attacco in Word, OOo cosa fa? E' vulnerabile? > Resiste? Va in crash ma non infetta il sistema? > > Ripeto che, se OOo si mostrasse piu' robusto di MS Office in questa > circostanza, sarebbe una buona pubblicita' per OOo.
Mmm... Tanto per cambiare, il documento corrispondente al link che hai riportato mi sembra confermare che la microsoft ritiene che gli utenti e gli amministratori dei suoi prodotti non siano tenuti/autorizzati a capire quali siano i problemi che devono correggere con le patch >:-) Nel senso che non mi pare che dicano esplicitamente quali pezzi di codice binario siano affetti dal problema, dicono solo che è affetta una "rendering engine", poi indicano come "affected software" praticamente tutte le versioni di mswindows; dopodiché però più avanti parlano anche di "Office update", che punta a http://office.microsoft.com/en-us/officeupdate/default.aspx dove si parla di "New: Download the WMF security update", che lascia pensare che ci sia un update anche per msoffice, cosa che non posso verificare, perché, se provo a scaricare l'update, con il loro solito comportamento discriminatorio, mi rispondono "Thank you for your interest in obtaining updates from our site. To use this site, you must be running Microsoft Internet Explorer 5 or later. To upgrade to the latest version of the browser, go to the Internet Explorer Downloads website." ... io semplicemente sto usando un prodotto sicuro per scaricare una correzione di un prodotto insicuro, anziché farlo connettendomi a internet con una groviera virale, ma lasciam perdere e torniamo a noi, che non mi interessa sparare sulla croce rossa, per far parlare male sono capacissimi da soli senza bisogno di aiuto da parte di altri ;-) Dicevo: da quello che scrivono non mi è chiarissimo se, una volta applicata la correzione a mswindows, automaticamente sta a posto anche msoffice; direi che questo potrebbe dipendere da come msoffice linka l'engine grafica in questione: se la linka staticamente, la correzione a mswindows è ininfluente su msoffice; se la linka dinamicamente, la correzione a mswindows è risolutiva; probabile che in molti casi sia vera la prima ipotesi, ma non saprei di preciso. In ogni caso, alla fine della fiera, il problema sta solo nell'engine WMF usata da msoffice; a occhio e croce, se anche OOo usa tale engine, il problema può esserci anche con OOo; se invece OOo ne usa un'altra, direi che è immune da tale problema. Ma non mi sembra che questo possa significare molto in termini di sicurezza dell'uno o dell'altro prodotto: a suo tempo accadde qualcosa di simile con la zlib, usata anche da OOo, ma che non viene sviluppata dagli sviluppatori di OOo... domanda: anche msoffice era affetto dallo stesso problema? Risposta: sì, ma solo perché usava la zlib, che non era prodotta da microsoft, mentre non sarebbe stato affetto se avesse usato un'altra libreria di compressione; questo caso che cosa implicava sulla sicurezza del codice sviluppato per OOo e di quello sviluppato per msoffice? se si vuole essere imparziali, direi che non implicava nulla per nessuno dei due; e questo caso del WMF mi sembra analogo: a prescindere dalla eco che può sollevare per entrambi i prodotti, mi sembra un caso relativamente poco significativo; se invece si vuole parlare specificamente di sicurezza del codice scritto da microsoft, questo caso del WMF è solo uno degli innumerevoli casi di voragini goffe della roba prodotta da quell'azienda... niente di nuovo sotto il sole... non ti curar di loro, ma guarda e passa... A LINUX! :-) Marco Pratesi -- Non rispondere all'indirizzo mittente, che è solo un collettore di spam. Il mio indirizzo aggiornato è su http://www.marcopratesi.it/email.php Please do not reply to the sender's address, that is only a spam sink. My updated e-mail address is at http://www.marcopratesi.it/email.php
