In via eccezionale la riporto qua la notizia :icon_roll se ne inventano di tutti i colori :icon_roll
Un ricercatore di sicurezza sconosciuto ha scelto una maniera a dir poco originale per lanciare l'allerta su una vulnerabilità "code execution" individuata in Microsoft Excel: ha infatti messo all'asta su eBay i dettagli relativi alla falla. L'asta è stata comunque bloccata da eBay stessa in accordo con Microsoft nel momento in cui si erano raggiunti i $53 di offerta.
Un portavoce di Microsoft ha confermato che l'annuncio su eBay era realmente relativo ad una vulnerabilità in Excel. "[We] have not been made aware of any attacks attempting to use the reported vulnerability or customer impact at this time, but will continue to investigate the public reports to help provide additional guidance for customers".
Microsoft sta attualmente effettuando ulteriori indagini sul report per determinare le azioni necessarie a protegge gli utenti Excel, il programma dedicato alla creazione e la gestione di fogli di calcolo della suite Microsoft Office.
Nell'annuncio su eBay, il venditore "fearwall" aveva descritto il problema di sicurezza come una vulnerabilità "zero-day" scoperta il 6 Dicembre 2005 e già notificata a Microsoft.
L'asta sembra essere stata indetta per sbeffeggiare Microsoft, e la sua presunta lentezza nel rilasciare correzioni ai bugs di sicurezza, almeno questo si deduce dal testo originale dell'annuncio: "It can be assumed that no patch addressing this vulnerability will be available within the next few months. So, since I was unable to find any use for this by-product of Microsoft developers, it is now available for you at the low starting price of $0.01 (a fair value estimation for any Microsoft product)". "fearwall" aveva aggiunto che una percentuale dei guadagni generati dall'asta sarebbero stati donati a vari progetti open-source e addirittura aveva garantito uno sconto del 10 percento per gli impiegati Microsoft (discount code LINUXRULZ).
La vulnerabilità dovrebbe riguardare un errore di validazione da parte di Excel durante il parsing di alcuni documenti relativamente alla funzione "msvcrt.memmove()". L'errore causa la sovrascritttura di particolari porzioni della memoria dello stack. La falla può essere sfruttata da malintenzionati per compromettere un PC vulnerabile.
Il codice exploit non era comunque incluso nell'asta.
Fonte
Un ricercatore di sicurezza sconosciuto ha scelto una maniera a dir poco originale per lanciare l'allerta su una vulnerabilità "code execution" individuata in Microsoft Excel: ha infatti messo all'asta su eBay i dettagli relativi alla falla. L'asta è stata comunque bloccata da eBay stessa in accordo con Microsoft nel momento in cui si erano raggiunti i $53 di offerta.
Un portavoce di Microsoft ha confermato che l'annuncio su eBay era realmente relativo ad una vulnerabilità in Excel. "[We] have not been made aware of any attacks attempting to use the reported vulnerability or customer impact at this time, but will continue to investigate the public reports to help provide additional guidance for customers".
Microsoft sta attualmente effettuando ulteriori indagini sul report per determinare le azioni necessarie a protegge gli utenti Excel, il programma dedicato alla creazione e la gestione di fogli di calcolo della suite Microsoft Office.
Nell'annuncio su eBay, il venditore "fearwall" aveva descritto il problema di sicurezza come una vulnerabilità "zero-day" scoperta il 6 Dicembre 2005 e già notificata a Microsoft.
L'asta sembra essere stata indetta per sbeffeggiare Microsoft, e la sua presunta lentezza nel rilasciare correzioni ai bugs di sicurezza, almeno questo si deduce dal testo originale dell'annuncio: "It can be assumed that no patch addressing this vulnerability will be available within the next few months. So, since I was unable to find any use for this by-product of Microsoft developers, it is now available for you at the low starting price of $0.01 (a fair value estimation for any Microsoft product)". "fearwall" aveva aggiunto che una percentuale dei guadagni generati dall'asta sarebbero stati donati a vari progetti open-source e addirittura aveva garantito uno sconto del 10 percento per gli impiegati Microsoft (discount code LINUXRULZ).
La vulnerabilità dovrebbe riguardare un errore di validazione da parte di Excel durante il parsing di alcuni documenti relativamente alla funzione "msvcrt.memmove()". L'errore causa la sovrascritttura di particolari porzioni della memoria dello stack. La falla può essere sfruttata da malintenzionati per compromettere un PC vulnerabile.
Il codice exploit non era comunque incluso nell'asta.
Fonte