Marco Pratesi ha scritto: > On Friday 06 January 2006 00:46, Andrea Pescetti wrote: ... > > Mi rimane il secondo dubbio: aprendo un file .DOC (contenente un file > > .WMF) che fa scattare l'attacco in Word, OOo cosa fa? E' vulnerabile? > > Resiste? Va in crash ma non infetta il sistema? > ... questo caso del WMF รจ solo uno degli innumerevoli casi di voragini > goffe della roba prodotta da quell'azienda... niente di nuovo sotto il > sole... non ti curar di loro, ma guarda e passa... A LINUX! :-)
Beh, anche i sistemi GNU/Linux sono vulnerabili se si utilizza Wine. Cosi' almeno riferisce George Ou, giornalista di ZDNet della cui neutralita' si e' gia' molto discusso in queste liste; nel suo blog titola "[Per Windows c'e' la patch ma] Linux e BSD sono ancora vulnerabili tramite Wine!". http://blogs.zdnet.com/Ou/index.php?p=146 Fonte a parte, la notizia e' vera. Basta guardare i sorgenti: http://www.winehq.org/pipermail/wine-patches/2006-January/023232.html "This fixes ... the wmf problem (in a minimal way)." Circa 24 ore dopo, la patch e' stata accettata nel codice di Wine: http://www.winehq.org/pipermail/wine-cvs/2006-January/020143.html [Nota: non ho provato a ricompilare Wine, ne' tantomeno a verificarne la vulnerabilita' prima e dopo la patch] Ou si e' dimenticato di segnalare che il problema e' stato risolto e che quindi i sistemi GNU/Linux sono piu' irrimediabilmente esposti. Anche sul resto del testo non so quanto Ou sia attendibile: per dare un'idea, dice che la patch di Microsoft non richiede reboot, poi corregge e dice che non richiede reboot solo su Windows XP SP2, poi ri-corregge e dice che non ha richiesto il reboot sul SUO sistema Windows XP SP2 in occasione della SECONDA installazione (seconda? si', perche' il giorno prima dell'uscita ufficiale aveva trovato, navigando, una versione "pirata" della patch originale di Microsoft e, per sicurezza -cosa di cui lui e' un "esperto"- l'aveva installata senza pensarci due volte e poi se ne era dimenticato). Nei commenti, segnalo il link ad una divertente pagina che massacra la professionalita' di Ou in un suo confronto "Linspire+OOo sul mio computer da 100 dollari contro Windows+Ms Office sul computer di un mio amico" http://lxer.com/module/newswire/view/50412/ Cito qui sotto alcune frasi dall'articolo di Ou: http://blogs.zdnet.com/Ou/index.php?p=146 While news of Microsoft's official patch for the WMF exploit reaches the web, I just received an email from H D Moore ... that WINE was still vulnerable to the WMF exploit. ... H D Moore: "All applications launched inside Wine, Cedega, or Cross-Over Office are technically still exploitable. ... The most feasible way this could happen is via a malicious WMF file embedded into a Word document, opened in Microsoft Office and running under Cross-Over Office. ... Marcus Meissner contacted the Wine development team and sent them a patch to fix this flaw." Ciao, Andrea. --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
