Anche questo mese Microsoft ha rilasciato un corposo bollettino che comprende sette hotfix per la sicurezza di Windows, Office ed IIS. 
Si tratta di cinque patch classificate a livello "Critical", il massimo scalino di urgenza, e due a livello important. Prima di dare un'occhiata ai singoli aggiornamenti però, ecco qualche consiglio rapido per i tanti che si chiedono cosa sia consigliabile installare e cosa possa essere tralasciato.
Per chi ha fretta
Come al solito chi segue le basilari regole della sicurezza informatica ed adotta un firewall ed un antivirus sempre aggiornato può tralasciare molti degli aggiornamenti Microsoft.
In particolare, in tale circostanza questo mese vedo come assolutamente imperdibile per i sistemi Windows domestici e workstation il solo update MS06-036 ed, in caso fosse installato Microsoft Office, anche i tre bollettini relativi alla suite di produttività personale sono da installare quanto prima.
Gli ultimi due update presentati invece sono interessanti solo per chi gestisca un server web.
Vulnerability in Server Service... (MS06-035)
La prima patch del mese corregge due errori nel servizio Server, un processo di sistema attivo su tutte le versioni di Windows (anche quelle "domestiche"): sfruttando uno dei due bachi un cracker potrebbe eseguire codice da remoto sulla macchina bersaglio, mentre facendo leva sulla seconda debolezza potrebbe leggere dati accumulati in alcuni buffer di rete.
Se di per se la debolezza è estremamente pericolosa, è bene precisare che la patch è del tutto superflua in caso il sistema sia protetto con un semplice firewall: anche quello integrato in Windows XP o Windows Server 2003 è più che adeguato.
Anche Windows 2000 è vulnerabile, ma questo datato sistema operativo non include un firewall integrato: in caso non l'aveste ancora fatto, vi consiglio di dotare il vostro sistema 2000 di una soluzione adeguata, come il sempre ottimo ZoneAlarm.
Vulnerability in DHCP Client Service... (MS06-036)
Questa seconda debolezza è invece molto più interessante, anche perché l'utilizzo del firewall non è sufficiente per risolvere il problema. 
Microsoft ha rilevato un problema nel servizio client DHCP che, se sfruttato a dovere, permetterebbe ad un utente ostile di prendere pieno controllo della macchina. Per sfruttare la debolezza però il cracker dovrebbe essere nella stessa rete locale del sistema bersaglio e rispondere ad una richiesta DHCP con un pacchetto malformato.
In altre parole, la debolezza non può essere sfruttata per colpire un sistema via Internet, ma solamente all'interno di una rete locale LAN: se siete soliti accedere a reti locali (ad esempio, quelle wireless delle università oppure presso gli access point negli Internet Cafè) questo aggiornamento deve essere considerato assolutamente prioritario. Se invece utilizzare un computer fisso e non siete collegati in LAN, potete tranquillamente ignorarlo.
Prima di procedere all'installazione, segnalo però che Microsoft riporta alcuni inconvenienti che potrebbero verificarsi in seguito all'installazione di questo aggiornamento: prendetene visione prima di proseguire!
Vulnerabilities in Microsoft Excel... (MS06-037)
Un solo aggiornamento cumulativo che risolve 8 bachi di sicurezza nel celeberrimo foglio di calcolo Microsoft, comprese la "Brutta falla per Excel" e le altre due ("Seconda e terza falla per Excel") apparse la settimana scorsa.
L'aggiornamento è assolutamente prioritario per chiunque avesse installato il programma.
Vulnerabilities in Microsoft Office... (MS06-038)
Una seconda patch dedicata agli utenti di Microsoft Office, in una qualsiasi delle versioni da 2000 in avanti.
Anche in questo caso vengono risolte con un solo aggiornamento 3 diverse debolezze, che potrebbero consentire l'esecuzione di codice da remoto semplicemente aprendo un file in formato MsOffice con uno dei programma di cui si compone la suite.
L'installazione di questa patch è assolutamente consigliata per chi utilizzasse il pacchetto di produttività personale Microsoft.
Attenzione: anche i semplici visualizzatori di documenti Word Viewer, Excel Viewer e PowerPoint Viewer sono afflitti dal problema! Microsoft ha quindi rilasciato una patch anche per questi programmi.
Vulnerabilities in Microsoft Office Filters (MS06-039)
Addirittura una terza patch per ulteriori due vulnerabilità di Office questo mese (ma non sarebbe stato meglio realizzare un piccolo rollup update che le comprendesse tutte?!).
Installando questa patch si risolve un problema nel modo in cui i programmi della suite Office gestiscono i formati grafici GIF e PNG che potrebbero essere sfruttati per confezionare un documento che, una volta aperto, lancerebbe codice sulla macchina colpita.
Vulnerability in ASP.NET... (MS06-033)
La prima delle due patch di questo mese che interessano i server web risolve un problema lato-server con ASP.NET, che potrebbe consentire ad un malintenzionato di bypassare il sistema di sicurezza della tecnologia e guadagnare accesso a dati riservati.
Sebbene non sia possibile sfruttare il baco per eseguire codice, Microsoft raccomanda di installare l'aggiornamento quanto prima. L'utenza domestica non è chiaramente interessata a questo hotfix, mentre lo raccomando vivamente a chi gestisse un server.
Vulnerability in Microsoft Internet Information Services... (MS06-034)
Un buffer non verificato nel web server Microsoft potrebbe consentire ad un utente ostile di eseguire codice sul server bersagliato.
Va comunque precisato che, per poter sfruttare la fall, il cracker dovrebbe essere autorizzato a caricare sul server una pagina in formato ASP: inutile sottolineare che tutte le più basilari regole di sicurezza suggeriscono di bloccare l'upload di qualsiasi materiale possa essere "attivato" in qualche modo, pagine dinamiche comprese.
Anche un semplice controllo sulle estensioni potrebbe essere una buona base di partenza: ho provato infatti a richiamare una pagina ASP travestita con l'estensione .gif: il web server Microsoft si accorge dell'errore, e non processa comunque il codice server side.
Se per un qualsiasi motivo avete l'assoluta necessità di consentire l'upload di pagine ASP o gestite un servizio web ad alto traffico e temete incursioni, l'aggiornamento e vivamente consigliato, mentre in tutte le altre situazioni è possibile anche tralasciare l'update.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati