Vulnerabilità in MSN Messenger e Word

Microsoft non si fa mancare nulla e recupera subito il terreno perso. Si scopre così che la vulnerabilità di Mozilla scoperta pochi giorni orsono, colpisce anche alcuni prodotti Microsoft : MSN Messenger e Microsoft Word.

Entrambe le applicazioni non restringono correttamente l'accesso alla URI "shell:", una funzionalità usata da utenti e software per lanciare programmi associati a una particolare estensione.
Un malintenzionato potrebbe lanciare un programma associato a una certa estensione utilizzando link contenuti in un documento o spediti in un messaggio con MSN. Tuttavia Secunia "rassicura" che comunque l'attaccante non sarebbe in grado di inviare comandi al programma così lanciato.

Se necessario Microsoft potrebbe fornire una patch a questi problemi.
Intanto, come sempre, si limita a esprimere il proprio disgusto verso la diffusione pubblica di queste informazioni, che (dice) potrebbe consentire a malintenzionati di portare avanti un attacco. E magari potrebbe (non dice) creare ulteriore avversione verso i suoi prodotti, proprio pochi giorni dopo aver assistito alla prima flessione (dal 1999 a oggi) nella diffusione di Internet Explorer tra i browser proprio per motivi di sicurezza.

Intanto su seclists.org qualcuno ha già evidenziato che si potrebbe utilizzare questo exploit per sfruttare dei conosciuti buffer overflow.

E io personalmente mi chiedo cosa possa succedere passando dei parametri ad-hoc a cmd.exe..

Nel frattempo (e anche dopo la fix) è bene verificare sempre il contenuto dei link prima di cliccarci sopra, specialmente se li ricevete su un instant messenger..

InfoWorld (qui in italiano)

SecLists.org (qui in italiano)