www.MegaLab.it

Ed eccoci arrivati all'ultimo appuntamento per l'anno corrente con la consueta "dose" di aggiornamenti e patch Microsoft. Si tratta tutto sommato di una conclusione piuttosto tranquilla, senza patch di rilevanza particolare se non un importante aggiornamento per Windows Media Player che dovrebbe interessare tutti gli utenti.

Ecco cosa viene proposto.

Cumulative Security Update for Internet Explorer (MS06-072)

La prima patch è un corposo aggiornamento per Internet Explorer nella ormai obsoleta versione 6, in abbinamento a Windows 2000/XP/2003.

L'aggiornamento tappa 4 falle nel browser Microsoft, classificate con il livello di pericolosità Critical: il rischio concreto è che un cracker possa realizzare una pagina web malformata che, una volta visionata con una versione non debitamente aggiornata del programma, causerebbe un accesso illegale alla memoria, consentendo all'utente ostile di eseguire codice a proprio piacimento (virus, worm o anche backdoor per il controllo remoto) sul sistema della vittima.

Per chiunque utilizzi Internet Explorer 6, questo update deve essere considerato assolutamente prioritario. Per chi invece abbia installato Internet Explorer 7, o usi un navigatore alternativo come Firefox oppure Opera, il download è del tutto superfluo.

>> Bollettino Microsoft e download

Vulnerability in Visual Studio 2005... (MS06-073)

Il secondo aggiornamento del mese è costituito dall'importante hotfix per Visual Studio che risolve il grave problema di sicurezza di cui abbiamo discusso nella news "Visual Studio mette a rischio il sistema".

Come già ricordato a quella pagina, la debolezza può essere sfruttata solamente usando Internet Explorer 6 come vettore di attacco: se utilizzate una versione differente del navigatore (o se non avete installato Visual Studio), l'aggiornamento può considerarsi superfluo.

>> Bollettino Microsoft e download

Vulnerability in Windows Media Format.. (MS06-078)

Ancora un aggiornamento ampiamente previsto per un doppio problema in Windows Media Player: il primo interessa le playlist in formato ASX (ne abbiamo parlato in Un nuovo bug per Windows Media Player) mentre il secondo interessa la gestione del formato di streaming multimediale ASF.

Da notare che tutte le versioni precedenti alla 11 del software multimediale Microsoft sono affette dal problema. Inoltre, anche nel caso in cui Windows XP oppure Windows Server 2003 siano stati aggiornati con Windows Media Player 11, il sistema operativo (si stenta a crederlo!) mantiene comunque una copia di Windows Media Player 6.4 installata ("per motivi di retrocompatibilità", sostiene Microsoft), che è invece afflitto dal problema. Windows Vista invece è dotato unicamente di Windows Media Player 11, e non è quindi soggetto all'upgrade.

Questa patch è sicuramente una delle più importanti del mese: l'aggiornamento deve essere considerato vitale su qualsiasi sistema Windows, anche qualora Windows Media Player non venisse utilizzato come software multimediale principale: la forte integrazione con il sistema operativo e con il browser web potrebbe infatti provocarne l'esecuzione anche senza una scelta esplicita da parte dell'utente.

>> Bollettino Microsoft e download

Vulnerability in SNMP... (MS06-074)

Un difetto nel componente SNMP di Windows 2000/XP/2003 (ma non Windows Vista) potrebbe consentire ad un cracker di eseguire codice su di una macchina non debitamente protetta.

Va comunque precisato che la falla è di scarso interesse per almeno due motivi. In primo luogo, il componente SNMP non è installato di default su alcuna piattaforma Windows. In secondo luogo, il principale ruolo di Simple Network Management Protocol è di configurare dispositivi di rete all'interno di una LAN: le più basilari regole di sicurezza consigliano sempre di bloccare l'accesso dall'esterno a questo tipo di servizi mediante l'utilizzo di firewall.

Per questi motivi, la patch in questione può essere considerata superflua per l'utenza domestica.

>> Bollettino Microsoft e download

Vulnerability in Windows... (MS06-075)

Un problema nel modo in cui Windows manda in esecuzione alcune applicazioni potrebbe essere sfruttato localmente da un cracker per causare un escalation di privilegi. In pratica, un utente limitato che accedesse al computer potrebbe far leva su questa debolezza per guadagnare i privilegi di amministratore, ed avere quindi pieno accesso al computer.

Va comunque precisato che la debolezza non può essere sfruttata via Internet, e che al cracker sarebbe comunque necessario un account valido sul sistema da cui iniziare la scalata.

La patch in questione (per Windows XP e Windows Server 2003) dovrebbe quindi essere considerata prioritaria per tutti i computer pubblici o comunque condivisi fra molte persone (Internet Cafè, biblioteche e sale studio, ad esempio) ma assolutamente superflua per l'ambiente domestico.

>> Bollettino Microsoft e download

Cumulative Security Update for Outlook Express... (MS06-076)

Il mailer Outlook Express mette a rischio tutti i sistemi Windows ad eccezione di Windows Vista su cui non è presente. Una falla nel gestore della rubrica potrebbe infatti consentire ad un cracker di realizzare un file Windows Address Book (WAB) malformato, che, una volta aperto con una versione non debitamente protetta di Outlook Express causerebbe l'esecuzione di codice da remoto: con questa tecnica un cracker potrebbe quindi prendere pieno controllo del sistema, ivi compreso l'accesso a dati e informazioni private.

Sebbene l'aggiornamento risolva il problema, raccomando di considerare seriamente la possibilità di abbandonare Outlook Express in favore di un prodotto più moderno, quale ad esempio Thunderbird oppure l'eccellente webmail di Gmail.

>> Bollettino Microsoft e download

Vulnerability in Remote Installation Service... (MS06-077)

Una debolezza nel componente opzionale Remote Installation Service può consentire ad un cracker di prendere pieno controllo di un server Windows 2000 non debitamente protetto. Anche in questo caso valgono le due considerazioni riguardo la limitata pericolosità del problema indicate per l'aggiornamento MS06-074.

Questa patch ci ricorda che, nonostante Microsoft abbia ufficialmente pensionato Windows 2000 ormai da qualche tempo, la fase di supporto extended continuerà fino a luglio 2007: in questo periodo il colosso di Redmond garantisce la disponibilità pubblica di patch per problemi di sicurezza senza costi aggiuntivi. Windows 2000 non è ancora da buttare, quindi...

>> Bollettino Microsoft e download