Microsoft sigilla un buco in Outlook Express

[thedarkenemy]

Nei giorni scorsi Microsoft ha rilasciato una patch che va a correggere un grave baco di sicurezza nel diffusissimo client e-mail Outlook Express (OE). La falla, descritta nel bollettino di sicurezza MS02-058 potrebbe consentire ad un aggressore di far girare sul sistema della vittima codice a propria scelta.

La vulnerabilità, che riguarda le versioni 5.5 e 6.0 di OE, consiste in un buffer overrun nel codice che implementa S/MIME (Secure/Multipurpose Internet Mail Extensions), uno standard per la sicurezza delle e-mail che consente agli utenti di spedire e ricevere messaggi criptati.

Microsoft ha spiegato come sia possibile, per un aggressore, creare una e-mail firmata digitalmente e inserirvi del codice malizioso: questo codice viene eseguito automaticamente nel momento in cui l'utente che ha ricevuto il messaggio lo apre o ne fa l'anteprima. Nel caso peggiore l'aggressore potrebbe riuscire a far girare sul computer della vittima del codice a propria scelta con gli stessi diritti dell'utente locale, mentre nel caso meno grave potrebbe verificarsi il crash di OE.

Microsoft afferma che la patch in grado di correggere questa falla è già stata integrata nel Service Pack 1 per Internet Explorer 6.0 ed in quello per Windows XP, di conseguenza gli utenti che hanno già installato uno di questi aggiornamenti sono immuni al problema. Per essere applicata ad OE 5.5 la patch richiede la previa installazione del Service Pack 2 per IE 5.5.