www.MegaLab.it

Microsoft ha reso disponibili da alcune ore le consuete patch di sicurezza mensili per i propri prodotti software di punta. Ecco di cosa si tratta.

Vulnerabilities in Microsoft Excel... (MS07-036)

Il primo aggiornamento del mese è giudicato "critico" per Microsoft Excel 2000, e "Importante" per tutte le versioni successiva del foglio di calcolo Microsoft.

Si tratta di un hotfix sostitutivo del MS07-023 rilasciato a maggio e come tale risolve problemi di sicurezza del tutto simili. In particolare, vengono limate altre due debolezze nella gestione della memoria da parte del programma, che potrebbero consentire ad un cracker di realizzare file malformati in grado di garantire pieno accesso al sistema, se aperti su di un sistema non debitamente aggiornato.

La patch è sicuramente consigliata per chiunque utilizzasse Microsoft Excel, soprattuto in ambienti in cui risultasse impossibile evitare come la peste documenti provenienti da fonti potenzialmente insicure.

>> Bollettino Microsoft e download

Vulnerability in Windows Active Directory... (MS07-039)

Il secondo aggiornamento del mese interesserà invece solamente gli amministratori di sistemi server. Due bug nell'implementazione del servizio Active Directory di Windows 2000 e Windows Server 2003 potrebbero infatti consentire ad un utente ostile (che però disponesse preventivamente di credenziali di accesso valide) di causare problemi variabili fra il blocco del server e l'esecuzione di codice da remoto, mediante la quale guadagnare pieno controllo del bersaglio.

Sebbene in una infrastruttura correttamente progettata il firewall di confine dovrebbe chiudere l'accesso al servizio da parte della rete Internet, la debolezza potrebbe essere ancora sfruttata LAN per causare qualche disagio. L'aggiornamento quindi è consigliato solamente in caso l'amministratore possa temere problemi provenienti dall'interno.

>> Bollettino Microsoft e download

Vulnerabilities in .NET Framework... (MS07-040)

Con la terza patch si ritorna invece nell'ambito dei PC domestici o da ufficio. Tre debolezze del .NET Framework potrebbero infatti essere sfruttate per prendere pieno controllo di un sistema Windows (qualsiasi edizione) che ospitasse un server web Internet Information Services (IIS) e tecnologia ASP.NET, oppure che utilizzasse Internet Explorer per visitare un sito web specificatamente studiato per far scattare la trappola.

Visto il numero tutt'altro che indifferente di "effetti collaterali" causati da questo update, ne raccomando l'installazione solo in caso ci si trovasse in una delle due situazioni appena descritte.

Come nota a margine, faccio presente che Microsoft sostiene che solamente le versioni 1.0 e 2.0 del framework sono afflitte dal problema, mentre la 3.0 viene elencata come "immune". Sebbene questo sia corretto dal punto di vista prettamente formale, è bene non dimenticare che .NET Framework 3.0 porta con sé anche le versioni precedenti, e quindi i componenti fallati.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Office Publisher 2007... (MS07-037)

L'update MS07-037 risolve invece un problema di sicurezza che affligge Microsoft Publisher in versione 2007 (le edizioni precedenti sono invece immuni) e che potrebbe consentire ad un cracker di realizzare un file .pub malformato, in grado di aprire le porte del sistema al controllo da remoto in caso venisse visualizzato su di una macchina non debitamente aggiornata.

Va notato che Microsoft classifica inspiegabilmente questa debolezza con un grado di pericolosità inferiore rispetto all'analogo problema di Microsoft Excel trattato in apertura: consultando il bollettino Microsoft non ho comunque trovato traccia di alcuna valida motivazione che possa sostenere questa scelta: come tale, raccomando di non sottovalutare questo hotfix.

Anche in questo caso valgono le stesse considerazioni viste per l'aggiornamento MS07-036: se decidete di installare l'uno, procedete sicuramente anche con l'altro.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Internet Information Services... (MS07-041)

Era ormai da qualche tempo che non apparivano vere e proprie voragini di sicurezza nel web server Microsoft. Sebbene classificata inspiegabilmente come "Important" e non "Critical", la falla risolta da questo aggiornamento rientra sicuramente in questa categoria.

La versione 5.1 di IIS, disponibile come componente opzionale solamente sotto Windows XP Professional, potrebbe infatti consentire ad un cracker di prendere pieno controllo del sistema semplicemente passando una richiesta HTTP malformata al web server.

Sebbene a discolpa di Microsoft si possa sostenere che Windows XP non è stato studiato per essere utilizzato come server (è addirittura necessario installare IIS utilizzando il CD), è indubbio che la falla ha tutti i connotati per essere davvero grave.

Se utilizzate Internet Information Services sul vostro sistema Windows XP (penso soprattutto agli sviluppatori ASP/ASP.NET e PHP che mantenessero la porta 80 aperta anche al traffico Internet, magari per mostrare il proprio lavoro ai colleghi) questa patch è indispensabile. Per l'utente domestico invece può essere tranquillamente ignorata.

>> Bollettino Microsoft e download

Vulnerability in Windows Vista Firewall... (MS07-038)

L'ultimo aggiornamento del mese risolve invece un problema relativo al firewall di Windows Vista. Stando a quanto riportato da un bollettino particolarmente avaro di dettagli, un cracker potrebbe sfruttare una debolezza nella versione di Windows Firewall inclusa in Windows Vista (sia 32 bit che 64) per aggirare "alcune regole" e recuperare così informazioni sul sistema.

Purtroppo le informazioni sono assolutamente insufficienti per formulare un giudizio di sintesi: in quest'ottica, installare l'update senza però considerarlo una priorità è sicuramente la raccomandazione più prudente.

>> Bollettino Microsoft e download