www.MegaLab.it

Microsoft ha rilasciato da poche ore il consueto carico mensile di patch ed aggiornamenti. Vediamo di cosa si tratta.

Vulnerability in the Windows Schannel... (MS07-31)

La prima patch del mese interessa tutti i sistemi operativi Microsoft a meno di Windows Vista.

Il componente Secure Channel (Schannel), utilizzato per instaurare connessioni sicure via SSL, è afflitto da un baco che potrebbe consentire ad un assalitore di prendere pieno controllo del sistema, semplicemente inducendo la propria vittima a visualizzare una pagina web malformata.

Il bollettino Microsoft purtroppo non spiega se la vulnerabilità interessi il solo Internet Explorer oppure anche i navigatori della concorrenza: nel dubbio, raccomando vivamente di installare questo update alla prima occasione.

>> Bollettino Microsoft e download

Cumulative Security Update for Internet Explorer (MS07-033)

Anche questo mese Microsoft rilascia il consueto paccone di aggiornamenti per Internet Explorer, sia versione 6 che 7, su tutte le piattaforme ancora supportate (Windows Vista compreso).

Imperdibile, se usate il navigatore Microsoft.

>> Bollettino Microsoft e download

Cumulative Security Update for Outlook Express and Windows Mail (MS07-034)

Ritocchi alla sicurezza anche per Outlook Express e la relativa "reincarnazione" per Windows Vista, Windows Mail. Alcune falle di diverso tipo presenti nel mailer Microsoft infatti, potrebbero consentire ad un utente ostile di eseguire programmi a propria discrezione sulla macchina bersaglio.

Raccomando l'installazione di questo aggiornamento solo a chi facesse uso del mailer integrato in Windows.

>> Bollettino Microsoft e download

Vulnerability in Win 32 API... (MS07-035)

Un baco rilevato in Win32 API (Application Programming Interface) consente ad una applicazione eseguita localmente di elevare i propri privilegi: ecco quindi che un cracker potrebbe realizzare un documento malformato che, sfruttando una applicazione lecita come vettore di ingresso, sarebbe in grado di avanzare una chiamata illecita al sistema operativo, ed eseguire così ulteriore software malevolo.

Il bollettino Microsoft precisa inoltre che molte applicazioni, quali lo stesso Internet Explorer, utilizzano il componente fallato: un utente ostile potrebbe quindi sfruttare il meccanismo appena descritto e realizzare una pagina web in grado di garantire pieno accesso al computer bersaglio.

Sebbene sia indubbio che sfruttare un problema del genere richieda una competenza tutt'altro che comune (non sono ancora disponibili exploit funzionanti), il pericolo è concreto e la patch dovrebbe essere installata alla prima occasione utile.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Visio... (MS07-030)

L'aggiornamento in questione risolve due distinti problemi di sicurezza in Microsoft Visio XP/2002 e 2003 (ma non 2007), il celeberrimo strumento per la realizzazione di grafici e schemi.

I due bachi risiedono nel modo con cui Visio gestisce il proprio formato di file: un cracker potrebbe così realizzare un .VSD, VSS, o .VST in grado di eseguire codice sulla macchina bersaglio non appena aperto con una versione non debitamente aggiornata del programma.

L'update è raccomandato solamente a chi si trovasse a dover aprire quotidianamente file Visio provenienti da fonti insicure.. una pratica che, comunque, raccomanderei di rivedere al più presto.

>> Bollettino Microsoft e download

Vulnerability in Windows Vista... (MS07-032)

L'ultima debolezza del mese interessa solo gli utenti di Windows Vista, e può comunque essere considerato un problema di secondo piano, rilevante solo per chi gestisce PC condivisi quali quelli di una biblioteca, un laboratorio didattico o un Internet Caffè.

Un baco nella gestione dei privilegi potrebbe infatti consentire ad un utente che disponesse di credenziali di accesso valide, ma limitate, di sottrarre la password di amministrazione ed altre informazioni rilevanti dagli account gerarchicamente superiori.

>> Bollettino Microsoft e download