www.MegaLab.it

Svariati aggiornamenti di sicurezza sono stati rilasciati in questi giorni per molti dei sistemi informatici più diffusi: si va da Microsoft Windows a Apple Macintosh, passando per popolari applicativi quali Opera Browser e il tool di sviluppo Visual Studio .NET. Vediamo i dettagli.

__Microsoft__

Redmond continua nella propria politica di aggiornamenti mensili rilasciando due update, classificati come "Moderate" che interessano Windows e Visual Studio.

__Vulnerability in DirectPlay Could Allow Denial of Service MS04-016__

La falla interessa tutti i sistemi bastati su kernel NT-derivati, quindi Windows 2000, Windows XP, Windows Server 2003. Windows 98/98SE/ME potrebbero essere interessati dal problema, ma non trattandosi di una falla di pericolosità critica, come da roadmap di progressivo abbandono di questi prodotti Microsoft non rilascia alcun update. Windows NT è esente dalla falla.

Il problema è localizzato in IDirectPlay4, un componente di DirectX utilizzato da alcuni giochi più datati per il multiplayer: un utente ostile potrebbe sfruttare un bug per cui alcuni pacchetti non vengono validati correttamente, inviando alla macchina di rete messaggi malformati che potrebbero causare il blocco dell'applicazione.

A quanto pare quindi, la falla causerebbe solo un disservizio (DoS) che forzerebbe l'utente a riavviare l'applicazione: non è stato riportata alcun circostanza in cui gli aggressori possano eseguire codice o prendere il controllo del sistema.

Se la falla è tutto sommato trascurabile per l'utente domestico, è vivamente consigliata l'installazione ai vari server dedicati al gaming (Quake, Unreal ecc): potrebbero essere presto bersagliati, interrompendo il servizio anche per gli altri giocatori ospiti.

Sebbene un firewall protegga da attacchi di questo tipo, le applicazioni di multi-playing devono poter superare il muro e accedere alla rete per poter interagire con gli altri giocatori, esponendo quindi al problema.

__ Vulnerability in Crystal Reports Web Viewer __

La seconda falla interessa solamente Visual Studio .NET 2003, Outlook 2003 su cui fosse installato anche Business Contact Manager, Business Solutions Customer Relationship Management (CRM) 1.2

La falla interessa un componente di visualizzazione di terze parti integrato nei prodotti Microsoft: qualora un utente avesse installato il server web Internet Information Services (IIS) in combinazione con uno degli applicativi menzionati, un utente ostile potrebbe sfruttare il bug per sottrarre informazioni (potenzialmente riservate) o addirittura eliminare documenti. Potrebbe altresì lanciare un attacco Denial of Service contro la macchina, rendendo necessario riavviare il sistema.

Non è stata rilevata alcuna circostanza in cui l'aggressore potrebbe seguire codice da remoto.

Da segnalare inoltre come il tool di sicurezza Microsoft Baseline Security Analyzer (MBSA) non rilevi il problema: questo applicativo infatti non supporta la ricerca di vulnerabilità per nessuno dei prodotti affetti.

Systems Management Server (SMS) al contrario, rileva e correggere correttamente il problema.

__Apple__

Anche Cupertino rilascia questo mese un aggiornamento di sicurezza per il proprio sistema operativo Mac OS X: oltre a risolvere alcune nuove vulnerabilità, questa patch chiude anche una falla di sicurezza già corretta in maniera non del tutto completa in passato.

Applicando questo aggiornamento, il sistema chiederà conferma prima di auto-"mountare" dischi e partizioni, e prima di avviare un applicazione partendo da un link esterno: proprio questa accoppiata di situazioni non era gestita correttamente, permettendo ad un utente ostile di portare a termine alcuni attacchi verso sistemi Mac OS X.

Sebbene sia sul mercato da quasi tre anni, questa è la prima falla a destare un livello di allarme significativo per l'ultimo nato Apple. In questo, bisogna dare atto a Cupertino, i sistemi Macintosh sono estremamente superiori a Windows.

__Opera__

A poche settimane dal rilascio della ottima versione 7.50, Opera Software rilascia una nuova build del proprio browser.

La versione 7.51, disponibile qui http://www.opera.com/download/ con e senza Java, risolve un problemino relativo alle "favicon", ovvero le icone che spesso accompagnano gli URL nella barra degli indirizzi: la release 7.50 soffre di un piccolo bug per cui un utente ostile potrebbe spedire al browser una favicon troppo grande, oscurando parte dell'indirizzo: un indirizzo così mascherato potrebbe trarre in inganno l'utente, che, ad esempio, potrebbe inserire il proprio numero di carta di credito pensando di trovarsi su un sito verificato, cedendolo invece ai cracker che possiedono il sito occultato.

Oltre a risolvere questa flaw, la nuova versione introduce alcuni miglioramenti secondari nella stabilità e velocità del programma.

Abbiamo potuto testare l'aggiornamento dalla build 7.50 alla nuova edizione: è sufficiente installare nella stessa cartella della precedente versione per veder automaticamente aggiornato il software e trovare impostazioni utente/i, contatti, e settaggi automaticamente importati nel modo corretto.

Alla data attuale, le ultime edizioni di opera sono disponibili solo in inglese: il languagefile per la traduzione italiana è fermo alla 7.23