www.MegaLab.it

Disponibile da poche ore la consueta dose di aggiornamenti di sicurezza Microsoft per il mese in corso. Sono 12 le pezze presentate questo mese, equamente divise fra problematiche classificate "Critical" (massimo livello di pericolosità) e "Important" (il grado inferiore). Prima di scendere nello specifico di ogni patch, alcune considerazioni di carattere generale.

Innanzitutto, è bene notare che questo mese ne abbiamo una grossa: la patch MS07-010 risolve infatti un baco assolutamente di primo piano, che potrebbe causare seri problemi senza nemmeno aprire un documento. Ma almeno anche tre patch di classe "Important" devono essere considerate con una certa attenzione.

Qualche osservazione anche sul nuovo Windows Vista: da un lato, il nuovo Windows si comporta in modo promettente, risultando immune a 11 dei 12 problemi elencati. Dall'altro però, non posso fare a meno di notare che nel bollettino in cui risulta vulnerabile (lo stesso MS07-010 già ricordato), il livello di rischio è ai massimi storici.

Internet Explorer 7 invece interrompe la propria carriera tutto sommato soddisfacente, mostrando il fianco a due problemi piuttosto seri (descritti nel bollettino MS07-016), arginati solamente da una poco convincente impostazione disabilitato-di-default dei componenti fallati.

Vulnerability in HTML Help ActiveX Control (MS07-008)

La prima patch del mese interessa tutte le versioni di Windows attualmente in circolazione, meno quel Windows Vista rilasciato da poche settimane. Da quanto è possibile capire dal lacunoso bollettino, si tratta di un problema nella gestione di alcuni controlli ActiveX che, se sfruttato a dovere, potrebbe consentire ad un utente ostile di costruire una pagina web malevola, in grado di fornire pieno controllo di un sistema non debitamente protetto su cui venisse visualizzata.

All'apparenza sembra trattarsi di un problema aggirabile semplicemente utilizzando un navigatore alternativo ad Internet Explorer (come Firefox oppure Opera), ma non mi è possibile esserne certo: raccomando quindi di installare questa patch alla primissima occasione utile.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Data Access Components (MS07-009)

Un'altra falla in un componente ActiveX (il celeberrimo ADODB.Connection) mette di nuovo a rischio tutti i sistemi Windows (a meno di Vista) non debitamente aggiornati con una versione sicura di Microsoft Access Data Components, vale a dire dalla 2.8 Service Pack 2 in poi. Microsoft mette a disposizione uno strumento gratuito per verificare quale release di MDAC sia installata sulla macchina.

Come esplicitato nei dettagli del bollettino, il modo migliore per sfruttare la debolezza è quello di indurre l'utente a visitare una pagina malformata con Internet Explorer: utilizzando un browser alternativo quindi non si corre alcun pericolo. Se utilizzate il navigatore di serie invece, raccomando di aggiornare al più presto: il rischio è di controllo completo del sistema da remoto.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Malware Protection Engine (MS07-010)

Problema decisamente serio in un componente alla base dei prodotti anti-schifezze di Microsoft, quali l'antivirus Windows Live OneCare, Microsoft Antigen e Forefront Security per i prodotti server, Windows Defender per Windows XP e anche Windows Defender in Windows Vista, la soluzione antispyware attiva di default che accompagna la nuova creatura Microsoft.

Un baco nel motore di scansione nei succitati prodotti potrebbe essere sfruttato per confezionare un documento PDF malformato in grado di eseguire automaticamente codice una volta ricevuto sul sistema vulnerabile, e consegnare di fatto il sistema nelle mani dell'aggressore: quindi cancellazione di file, accesso a dati riservati o sottrazione di informazioni sensibili, quali password e numeri di carta di credito.

Aggiornamento assolutamente prioritario, questa è potenzialmente una di quelle grosse! se utilizzate Windows Vista oppure una versione precedente di Windows protetta da uno delle soluzioni menzionate, basterebbe ricevere (senza nemmeno bisogno di aprire) un file per posta elettronica, via web o dai circuiti di filesharing per rimanere compromessi.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Word (MS07-014)

Finalmente, dopo mesi di attesa, arriva la patch per porre rimedio a numerosi problemi di sicurezza in Microsoft Word (tutte le versioni, anche per Mac, tranne quella inclusa in Office 2007). Sei in totale i bachi risolti da questa patch, fra cui tre davvero gravi: Word a rischio: file DOC velenosi, Seconda falla critica per Microsoft Word Terza falla critica per Microsoft Word.

L'aggiornamento deve essere considerato prioritario per tutti gli utilizzatori del programma di videoscrittura Microsoft.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Office (MS07-015)

Ancora un corposo aggiornamento per i prodotti della suite da ufficio Microsoft, in tutte le edizioni precedenti alla 2007 e signoli visualizzatori compresi. Ancora una volta si tratta di problemi legati al parsing dei documenti, che potrebbero consentire ad un cracker di realizzare un file malformato in grado di eseguire codice da remoto una volta visualizzato con una versione non debitamente aggiornata dei singoli prodotti che costituiscono la suite.

Il suggerimento è di procedere immediatamente con l'aggiornamento se utilizzate Microsoft Office, ma anche di usare sempre la massima cautela verso qualsiasi file in arrivo dall'esterno, sia esso un eseguibile o un documento.

>> Bollettino Microsoft e download

Cumulative Security Update for Internet Explorer (MS07-016)

Che aggiornamento mensile sarebbe senza una bella patch cumulativa per il browserone Microsoft? Ecco quindi una pezza per tutte le versioni di Internet Explorer installate sui sistemi Windows precedenti a Vista, compreso Internet Explorer 7 per Windows XP.

Tre i problemi risolti: due bachi nella gestione della memoria di oggetti COM, che potrebbero consentire l'esecuzione di codice da remoto in caso una pagina web venisse visualizzata con Internet Explorer 6, e uno nel gestore del protocollo FTP integrato.

Da notare che il rischio per Internet Explorer 6 è classificato Critical per tutte e tre le falle, mentre per Internet Explorer 7 il bollettino parla di Important/Important/none. La differenza di valutazione è da ricercarsi nella configurazione di fabbrica di IE 7, in cui la maggior parte dei controlli ActiveX sono disabilitati e attivabili dall'utente cliccando sulla Barra di Sicurezza di colore giallo che appare di tanto in tanto. Sia come sia, anche se usate Internet Explorer 7 l'aggiornamento deve essere portato a termine quanto prima. Se usate la versione 6 invece, raccomando vivissimamente di passare alla nuova release. E quindi di installare questa patch, s'intende.

>> Bollettino Microsoft e download

Tutto il resto...

Le rimanenti patch di classe "Important" presentate questo mese mostrano una importanza sicuramente eterogenea.

Il bollettino MS07-005 è di scarso interesse: tratta di un problema nel programma "Step-by-Step Interactive Training", non installato di default su alcuna versione di Windows.

Nel MS07-006 si parla invece di un baco presente in Windows XP e Windows Server 2003 (ma non Windows 2000 o Windows Vista) che consente ad un utente limitato di acquisire privilegi di amministratore, mediante una serie di operazioni piuttosto macchinose; è comunque necessario che l'assalitore disponga preventivamente di credenziali d'accesso valide. La patch è interessante solamente per i sistemi condivisi (biblioteche, università o Internet Cafè) o in ambiti aziendali particolari. Una escalation di privilegi del tutto analoga potrebbe verificarsi anche qualora non venisse applicata una patch per il servizio Window Image Acquisition di Windows XP: se ne parla nel bollettino MS07-007.

Decisamente più rilevanti invece i bollettini MS07-011, MS07-012 ed MS07-013. Trattasi di una serie di problemi nella gestione di oggetti incorporati con la tecnologia OLE all'interno di documenti RTF (Rich Text Format). Sebbene non siano illustrati i dettagli, un cracker potrebbe prendere pieno controllo del sistema da remoto in caso la vittima aprisse un documento RTF ed "interagisse" con un oggetto OLE malformato ivi agganciato. La mancanza di informazioni più precise contribuisce a rendere queste tre patch piuttosto interessanti: il mio consiglio è sicuramente di installarle sui sistemi afflitti, quindi Windows XP, Windows Server 2003, Windows 2000. Ancora immune Windows Vista.