Punto informatico Network

Contenuto Default

Bollettino Microsoft - Settembre 2006

13/09/2006
- A cura di
Zane.
Archivio - Poche patch dall'importanza limitata rendono piuttosto tranquilla la situazione "sicurezza" in questo ultimo stralcio dell'estate 2006.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 98 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Dopo alcuni mesi particolarmente intesi sul fronte degli aggiornamenti di sicurezza, Microsoft ha rilasciato nella prima serata di ieri un bollettino piuttosto esile, con soli tre aggiornamenti.

Il più importante (classificato Critical) riguarda il programma Microsoft Publisher nelle versioni 2000, XP e 2003, mentre gli altri due update (rispettivamente con importanza Important e Moderate) interessano il sistema operativo Windows. Vediamo di cosa si tratta.

Vulnerability in Microsoft Publisher... (MS06-054)

Ms_winupdate.gif

Come detto la vulnerabilità per Publisher è la più pericolosa fra quelle "stuccate" questo mese.

Un input non debitamente validato permetterebbe infatti ad un cracker di confezionare un documento malformato, in grado di eseguire codice da remoto una volta aperto con una versione non debitamente aggiornata del software.

Va precisato che Microsoft invita i clienti ad installare questo hotfix anche in caso l'edizione di Office in uso non includa Publisher: gli altri programmi della suite potrebbero infatti richiamare indirettamente gli stessi file difettosi, permettendo ad un utente ostile di prendere controllo della macchina anche per vie traverse.

L'installazione di questa patch è assolutamente prioritaria in caso vi trovaste ad aprire o gestire spesso documenti in formato Publisher (.pub) provenienti dall'esterno. Solitamente però i file di questo tipo vengono utilizzati internamente, preferendo altri formati per i contatti con l'esterno, ed è quindi piuttosto improbabile che vi troviate in questa circostanza: è quindi possibile non installare l'aggiornamento, a patto però di utilizzare sempre la consueta dose di diffidenza verso qualsiasi file sospetto in entrata.

>> Bollettino Microsoft e download

Vulnerability in Pragmatic General Multicast (PGM)... (MS06-052)

Il primo dei due aggiornamenti per Windows di questo mese interessa una funzionalità di rete risultata difettosa in Windows XP (anche se dotato di Service Pack 2), mentre ne sono immuni Windows 2000 e Windows Server 2003.

Va precisato per prima cosa che il componente fallato, Microsoft Message Queuing (MSMQ) 3.0, non è installato di default: a meno che non abbiate manualmente aggiunto questo componente di rete quindi il sistema non è a rischio.

La falla è ancora una volta legata alla mancata validazione del formato dati ricevuto dal servizio. Un cracker potrebbe quindi inviare un pacchetto malformato al servizio corrompendo la memoria, ed eseguendo così codice da remoto prendendo pieno controllo del sistema.

In caso utilizzaste questo protocollo (eventualità tutto sommato piuttosto remota) è indispensabile installare l'aggiornamento alla primissima occasione utile. In caso contrario andate oltre.

>> Bollettino Microsoft e download

Vulnerability in Indexing Service.. (MS06-053)

L'ultima patch di questo mese interessa una funzionalità parte di Internet Information Services (IIS), il web server nativo delle piattaforme Windows.

Anche in questo caso si tratta di un componente opzionale e non installato di default su alcuna versione di Windows. Come conferma il livello di pericolosità Moderate attribuito, anche in caso IIS fosse installato, la funzionalità incriminata dovrebbe essere stata esplicitamente abilitata.

La debolezza risiede nel modo con cui il servizio di indicizzazione elabora le query passate dal web server: inviando una stringa malformata un cracker potrebbe portare attacchi di tipo Cross Site Scripting (XSS) e sottrarre così alcune informazioni tecniche che, in talune circostanze, potrebbero risultare utili per progettare un attacco più efficace.

Si tratta quindi di un baco minore, incapace di far eseguire codice da remoto: la patch dovrebbe essere installata solo in caso di web server molto trafficati che utilizzino esplicitamente la funzionalità fallata.

>> Bollettino Microsoft e download

Manca qualcosa?

Grande assente è un aggiornamento per la falla in Microsoft Word 2000 rilevata nei giorni scorsi che, a questo punto, rimarrà senza cerotto almeno per un altro mese, fino all'aggiornamento di ottobre.

In caso utilizzaste ancora questo software (si tratta di un prodotto ormai datato, ma ancora piuttosto diffuso), rinnovo il mio invito a trattare con i guanti qualsiasi documento Word in arrivo dall'esterno.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 102
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.13