www.MegaLab.it

Un ritorno dalle vacanze tutto sommato tranquillo quello degli utenti Windows. Questo mese infatti, Microsoft ha rilasciato solamente quattro aggiornamenti di sicurezza, la maggior parte dei quali per problemi di sicurezza con grado di pericolosità piuttosto limitato.

Ecco di cosa si tratta.

Vulnerability in Microsoft Agent... (MS07-051)

La prima e più importante patch del mese risolve un problema nel vetusto-ma-ancora-diffusissimo Windows 2000 (sono invece immuni tutte le altre versioni). Un baco nel componente Microsoft Agent potrebbe infatti consentire ad un cracker di prendere pieno controllo del sistema semplicemente convincendo la propria vittima a visualizzare con Internet Explorer una pagina web malformata.

La patch è raccomandata a chiunque utilizzasse ancora un sistema Windows 2000 per navigare il web con il browser di casa Microsoft, mentre può essere considerata opzionale per chi, molto più saggiamente, avesse preferito un navigatore più aggiornato, come Firefox oppure Opera.

>> Bollettino Microsoft e download

Vulnerability in Crystal Reports for Visual Studio... (MS07-052)

Il secondo aggiornamento del mese interessa invece tutti gli sviluppatori che utilizzino l'ambiente Visual Studio (2002/2003/2005, ma non Express Edition) sotto una qualsiasi versione di Windows.

Un baco in Crystal Reports consente infatti ad un aggressore di realizzare un file .RPT malevolo, in grado di scatenare l'esecuzione di codice da remoto una volta aperto sulla macchina dello sviluppatore che non avesse ancora aggiornato il proprio ambiente di lavoro. Fra le FAQ si legge però che, in alcune circostanze, anche le applicazioni realizzate tramite Visual Studio e poi distribuite ai clienti potrebbero esporre al rischio.

>> Bollettino Microsoft e download

Vulnerability in Windows Services for UNIX... (MS07-053)

La terza patch del mese interessa invece il componente Windows Services for UNIX, non presente di default in nessuna versione di Windows.

Anche in caso questo elemento fosse stato installato, la vulnerabilità risolta non è semplice da sfruttare: facendo leva su una svista nella gestione dell'attributo setuid (set-user-identifier-on-execution) di taluni file, un utente limitato potrebbe essere in grado di garantirsi i privilegi di amministratore. Per poter iniziare la fase di attacco comunque, il cracker dovrebbe avere accesso alla macchina bersaglio da locale, e disporre già di credenziali valide per il logon.

>> Bollettino Microsoft e download

Vulnerability in MSN Messenger and Windows Live Messenger... (MS07-054)

L'ultimo aggiornamento di settembre risolve invece un problema nel programmino di messaggistica istantanea Microsoft, MSN Messenger/Windows Live Messenger, tanto apprezzato dai più giovani ma non solo.

Le versioni afflitte dal problema (tutte le build precedenti a MSN Messenger 7.0.0820 e Windows Live Messenger 8.1) potrebbero infatti consentire ad un cracker di prendere controllo del sistema della propria vittima, a patto però che questi accetti una richiesta di "chat via webcam" studiata appositamente per far leva sul problema.

Microsoft distribuirà questa patch sfruttando il meccanismo di aggiornamento automatico presente nel software di messaggistica stesso: all'utente verrà mostrato un avviso alla prima riconnessione, che sarà sufficiente accettare per epurare il programma dal baco.

>> Bollettino Microsoft e download