www.MegaLab.it

Dopo alcuni mesi particolarmente intesi sul fronte degli aggiornamenti di sicurezza, Microsoft ha rilasciato nella prima serata di ieri un bollettino piuttosto esile, con soli tre aggiornamenti.

Il più importante (classificato Critical) riguarda il programma Microsoft Publisher nelle versioni 2000, XP e 2003, mentre gli altri due update (rispettivamente con importanza Important e Moderate) interessano il sistema operativo Windows. Vediamo di cosa si tratta.

Vulnerability in Microsoft Publisher... (MS06-054)

Come detto la vulnerabilità per Publisher è la più pericolosa fra quelle "stuccate" questo mese.

Un input non debitamente validato permetterebbe infatti ad un cracker di confezionare un documento malformato, in grado di eseguire codice da remoto una volta aperto con una versione non debitamente aggiornata del software.

Va precisato che Microsoft invita i clienti ad installare questo hotfix anche in caso l'edizione di Office in uso non includa Publisher: gli altri programmi della suite potrebbero infatti richiamare indirettamente gli stessi file difettosi, permettendo ad un utente ostile di prendere controllo della macchina anche per vie traverse.

L'installazione di questa patch è assolutamente prioritaria in caso vi trovaste ad aprire o gestire spesso documenti in formato Publisher (.pub) provenienti dall'esterno. Solitamente però i file di questo tipo vengono utilizzati internamente, preferendo altri formati per i contatti con l'esterno, ed è quindi piuttosto improbabile che vi troviate in questa circostanza: è quindi possibile non installare l'aggiornamento, a patto però di utilizzare sempre la consueta dose di diffidenza verso qualsiasi file sospetto in entrata.

>> Bollettino Microsoft e download

Vulnerability in Pragmatic General Multicast (PGM)... (MS06-052)

Il primo dei due aggiornamenti per Windows di questo mese interessa una funzionalità di rete risultata difettosa in Windows XP (anche se dotato di Service Pack 2), mentre ne sono immuni Windows 2000 e Windows Server 2003.

Va precisato per prima cosa che il componente fallato, Microsoft Message Queuing (MSMQ) 3.0, non è installato di default: a meno che non abbiate manualmente aggiunto questo componente di rete quindi il sistema non è a rischio.

La falla è ancora una volta legata alla mancata validazione del formato dati ricevuto dal servizio. Un cracker potrebbe quindi inviare un pacchetto malformato al servizio corrompendo la memoria, ed eseguendo così codice da remoto prendendo pieno controllo del sistema.

In caso utilizzaste questo protocollo (eventualità tutto sommato piuttosto remota) è indispensabile installare l'aggiornamento alla primissima occasione utile. In caso contrario andate oltre.

>> Bollettino Microsoft e download

Vulnerability in Indexing Service.. (MS06-053)

L'ultima patch di questo mese interessa una funzionalità parte di Internet Information Services (IIS), il web server nativo delle piattaforme Windows.

Anche in questo caso si tratta di un componente opzionale e non installato di default su alcuna versione di Windows. Come conferma il livello di pericolosità Moderate attribuito, anche in caso IIS fosse installato, la funzionalità incriminata dovrebbe essere stata esplicitamente abilitata.

La debolezza risiede nel modo con cui il servizio di indicizzazione elabora le query passate dal web server: inviando una stringa malformata un cracker potrebbe portare attacchi di tipo Cross Site Scripting (XSS) e sottrarre così alcune informazioni tecniche che, in talune circostanze, potrebbero risultare utili per progettare un attacco più efficace.

Si tratta quindi di un baco minore, incapace di far eseguire codice da remoto: la patch dovrebbe essere installata solo in caso di web server molto trafficati che utilizzino esplicitamente la funzionalità fallata.

>> Bollettino Microsoft e download

Manca qualcosa?

Grande assente è un aggiornamento per la falla in Microsoft Word 2000 rilevata nei giorni scorsi che, a questo punto, rimarrà senza cerotto almeno per un altro mese, fino all'aggiornamento di ottobre.

In caso utilizzaste ancora questo software (si tratta di un prodotto ormai datato, ma ancora piuttosto diffuso), rinnovo il mio invito a trattare con i guanti qualsiasi documento Word in arrivo dall'esterno.