Microsoft Virtual PC ha un problema di sicurezza

di Fabio Boneschi, pubblicata il 18 Marzo 2010, alle 16:44 nel canale Sicurezza

“Core Security Technologies ha diffuso una nota nel quale viene descritto un proble di sicurezza di Microsoft Virtual PC”



Commenti (22)

Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.
Commento # 11 di: WarDuck pubblicato il 19 Marzo 2010, 00:53
Originariamente inviato da: S1©
Ma quale motivo ci sarebbe per scaricare Virtual PC?
Esiste VMWare player che, mi spiace dirlo, è epoche avanti.
E include anche la modalità di esecuzione dei programmi guest dal sistema operativo host.

L'unica cosa sarebbe usare VirtualPC, installare l'xp mode, recuperare la key di Windows ed utilizzarla legittimamente con VMWare.
Cosa che mi sembra buona e giusta, dopo l'acquisto di un OS Microsoft di fascia alta.


Non serve, installi l'XP Mode, poi converti la macchina virtuale con VMWare Player, c'è la funzione bella in vista nel menù principale dopo aver installato XP Mode .
Commento # 12 di: riazzituoi pubblicato il 19 Marzo 2010, 10:26
.
Commento # 13 di: PhirePhil pubblicato il 19 Marzo 2010, 14:24
@riazzituoi

RC? cioè per correggere un problema di sicurezza devo usare software non RTM? A casa mia non si chiama patch, questa... -.-

In genere il software MS è gestibile tramite group policy quindi immagino che anche per virtual pc sia ipotizzabile una gestione centralizzata che magari con VMware non è possibile (ho detto immagino in quanto non ne sono sicuro, parlo per esperienza con gli altri software a corredo del SO). Per il resto anche la versione Ultimate non integra virtual PC che deve essere scaricato a parte (mi pare che siano addirittura 2 pacchetti distinti, quello solo con il software di virtualizzazione e quello con l'xp virtualizzato).
Commento # 14 di: riazzituoi pubblicato il 19 Marzo 2010, 15:18
.
Commento # 15 di: WarDuck pubblicato il 20 Marzo 2010, 00:59
http://blog.mozilla.com/security/20...visory-sa38608/

La falla è stata corretta grazie ai dettagli forniti a Mozilla, il fatto che sia open in questo caso non mi sembra abbia contribuito, dato che ripeto, è rimasta aperta per 1 mese, ma cmq...
Commento # 16 di: riazzituoi pubblicato il 20 Marzo 2010, 12:31
.
Commento # 17 di: WarDuck pubblicato il 20 Marzo 2010, 17:11
Originariamente inviato da: riazzituoi
Ha contribuito nel senso che a diferenza di altri prodotti closed, non hanno nascosto la falla facendo pensare agli utenti che "0 falle riportate = prodotto più sicuro" (ovvero falso senso di sicurezza, e falle patchate a distanza di anni)


Ma per favore... tutti i prodotti hanno falle latenti in attesa di essere scoperte, quel tizio l'ha scoperta e ha dato informazioni 1 mese dopo a mozilla.

La responsabilità di chi scopre una falla e non la segnala subito non ce la metti? Questa è una cosa grave IMHO che prescinde proprio dall'esser open o closed, e può "colpire" chiunque.

Viceversa mi sarei aspettato che la mentalità "open" avrebbe portato qualcun altro a scoprire la falla e segnalarla, cosa che non si è verificata.

Open source non è sinonimo di qualità, come invece qualcuno vuol far credere.

Per il resto non credo affatto che tu possa dimostrare l'intenzionalità di nascondere falle con quello scopo.

Questo ricade nella sfera del "pensar male". Che è ben diverso da avere dati oggettivi.

Tant'è che ogni volta che esce una patch c'è qualcuno che si lamenta

Oppure quando si sente parlare di un bug si commenta senza accertarsi dell'effettiva gravità della falla, a volte dando luogo a titoli senzazionalistici.
Commento # 18 di: riazzituoi pubblicato il 20 Marzo 2010, 19:16
.
Commento # 19 di: WarDuck pubblicato il 20 Marzo 2010, 19:49
Originariamente inviato da: riazzituoi
[..]
Ma quale pensare male, ormai è pratica comune in progetti closed nascondere le falle, e patcharle solo se messi alle strette.
Qui puoi trovare due esempi:
http://www.hwupgrade.it/forum/showp...amp;postcount=4
http://www.hwupgrade.it/forum/showp...p;postcount=139

ma se uno volesse indagare di magagne del genere ne troverebbe a iosa, come anche le falle che magicamente vengono trasformate in feature


2 falle = pratica comune?

Ma soprattutto come si può affermare che questo sia intenzionale? Sulla base di cosa poi viene deciso quale falla nascondere e quale no?

E' chiaro che ci saranno delle responsabilità, ma se fosse come dici allora dovrebbero fare così con tutte le falle, e non mi sembra.

Non confondiamo la negligenza con l'intenzionalità.

Opera è closed eppure non mi risulta nascondi falle, quindi l'equazione closed source = falle nascoste è decisamente forzata.

E' cmq è nell'interesse dell'azienda cercare di mantenere (e nel caso di Microsoft recuperare) crediblità.

Originariamente inviato da: riazzituoi
E come avrebbero dovuto scoprire la stessa identica falla senza sapere neanche di cosa si trattasse?


Tramite i milioni di occhi di milioni di utenti che (si dice) controllano il codice open source
Commento # 20 di: riazzituoi pubblicato il 20 Marzo 2010, 21:59
.
« Pagina Precedente     Pagina Successiva »
Devi effettuare il login per poter commentare
La discussione è consultabile anche qui, sul forum.