Sab, 2006-01-07, Marco Pratesi ha scritto: > On Saturday 07 January 2006 13:07, Andrea Pescetti wrote: > > Marco Pratesi ha scritto: > > > ... questo caso del WMF è solo uno degli innumerevoli casi di > > > voragini goffe della roba prodotta da quell'azienda... > > Beh, anche i sistemi GNU/Linux sono vulnerabili se si utilizza Wine. > > Cosi' almeno riferisce George Ou ... > Della serie "ma quante idiozie tocca leggere" :-)
Si', Ou scrive parecchie idiozie, ma era la fonte piu' citata, benche' non l'unica, che avevo al momento. Nel messaggio citavo anche i log del CVS di Wine, che sono una fonte non manipolabile. > Invece risponderò a quello che hai scritto tu, visto che non mi risulta > che tu sia un lamer sparaballe disinformatore FUDdarolo ecc. ecc. :-) Nemmeno a me risulta di esserlo, pero' ho voluto attendere, per eccesso di zelo, la release della successiva versione di Wine, avvenuta oggi. > > Beh, anche i sistemi GNU/Linux sono vulnerabili se si utilizza Wine. > > Beh qui di precisazioni da fare ce ne sarebbero un sacco e una sporta e > non ci vuole molto a mettere in crisi una affermazione del genere :-) In questo caso ci vuole un po' di piu' (ho solo intenzione di spiegare un po' meglio la situazione, non certo di fare polemiche!). Una delle cinque novita' della nuova versione di Wine e' "Fix for the Windows metafile vulnerability". http://www.winehq.org/?announce=1.110 > Punto primo: ... Wine non è affetto da tale baco, > dato che non contiene codice scritto da microsoft ... > Punto secondo: Wine permette di *usare* le DLL native di mswindows... > non è certo Linux ad essere affetto da tale > baco, e nemmeno Wine, ne è affetto mswindows ... > Punto terzo: Wine, da tempo, va eseguito con privilegi di normale > utente e non da > root (amministratore); usato correttamente ho i miei dubbi che possa > far danno al sistema a causa di una DLL m$ bacata Ahime', le cose non stanno cosi'. Il problema e' che, sorprendentemente, la reimplementazione di Wine soffriva di una vulnerabilita' analoga a quella di Windows: quindi, in teoria, guardare un WMF con un programma Windows eseguito tramite Wine (anche in un sistema che non contiene DLL di Windows) ti espone alla vulnerabilita'. La radice del problema e' nel design insicuro del formato WMF; insomma, c'e' comunque un errore di Microsoft all'origine di tutto. I tempi di reazione degli sviluppatori di Wine sono stati decisamente rapidi: entro 24 ore il codice CVS conteneva gia' la patch. Purtroppo non sono riuscito a trovare molte informazioni in piu': ad esempio, quanto e' lungo, nel caso della vulnerabilita' di Wine, il passo dalla teoria alla pratica e qual e' il massimo possibile impatto della vulnerabilita'. Se qualcuno ne sa di piu' sono curioso. Il Security Advisory ufficiale di Gentoo (in inglese) http://www.gentoo.org/security/en/glsa/glsa-200601-09.xml e la relativa discussione Bugzilla sono abbastanza convincenti, anche se non completamente esaurienti. Ciao, Andrea. --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
