www.MegaLab.it

Microsoft propone questo mese 5 aggiornamenti critici per Project, Windows ed Internet Explorer, affiancati da ulteriori 3, ritenuti meno preoccupanti, per il sistema operativo e Microsoft Visio.

Invero, tutti e 8 gli aggiornamenti di questo mese sono piuttosto importanti, tanto da far sembrare la classificazione "Important" degli ultimi 3 un po' azzardata.

Ecco di cosa si tratta.

Vulnerability in Microsoft Project... (MS08-018)

Le versioni meno recenti di Microsoft Project sono interessate da un problema nel parsing dei documenti. Il baco potrebbe consentire ad un utente ostile di causare disagi a gravità variabile, una volta che il cracker avesse persuaso la propria vittima ad aprire un file confezionato ad hoc per sfruttare il problema.

Sono afflitte dal baco le edizioni 2000, 2002/XP, e 2003, mentre sembrano immuni tutte le successive.

>> Bollettino Microsoft e download

Vulnerabilities in GDI... (MS08-021)

Il bollettino MS08-021 è sostitutivo del precedente MS07-046, e, come tale, risolve nuovi e vecchi problemi di sicurezza in Graphics Device Interface (GDI), uno dei principali componenti dell'interfaccia grafica dei sistemi Windows.

In particolare, il nuovo aggiornamento risolve un grave problema nella gestione delle immagini in formato EMF e WMF. Un cracker potrebbe avvalersi della mancata validazione dei dati in ingresso per sovrascrivere aree di memoria adiacenti, e, potenzialmente, eseguire programmi a propria discrezione, mediante i quali garantirsi pieno accesso al sistema.

L'update interessa tutti i sistemi Windows, a partire da Windows 2000 fino a Windows Server 2008, ed è senza dubbio uno degli aggiornamenti più importanti degli ultimi mesi: da installare quanto prima.

>> Bollettino Microsoft e download

Vulnerability in VBScript and JScript Scripting Engines... (MS08-022)

La patch in questione sostituisce la precedente MS06-023.

Un baco nella funzionalità di decodifica degli script realizzati in VBScript e Jscript potrebbe consentire ad un utente ostile di confezionare una pagina web in grado di lanciare programmi sul sistema del visitatore, e garantire quindi al cracker il pieno controllo del sistema.

L'hotfix interessa Internet Explorer abbinato a tutti i sistemi Microsoft di penultima generazione: solo Windows Vista e Windows Server 2008 risultano infatti immuni.

>> Bollettino Microsoft e download

Security Update of ActiveX Kill Bits (MS08-023)

Un bollettino alquanto inusuale, questo MS08-023. L'aggiornamento si occupa infatti di disabilitare il controllo ActiveX hxvz.dll, responsabile di interfacciare Internet Explorer con il programma multimediale Yahoo! Music Jukebox.

L'applicazione infatti ha riportato problemi di sicurezza in alcune vecchie versioni: per precauzione, Yahoo! ha ritenuto necessario richiedere a Microsoft la disabilitazione di tale controllo mediante una patch distribuita via Windows Update.

Sebbene Windows 2000 e Windows XP siano le versioni più esposte, nemmeno Windows Vista, Windows Server 2003 e Windows Server 2008 sono completamente al sicuro fino a quando non viene installato questo aggiornamento.

>> Bollettino Microsoft e download

Cumulative Security Update for Internet Explorer (MS08-024)

Nuovo aggiornamento di sicurezza per il browser di casa Microsoft. Due le novità proposte.

La prima, è la risoluzione di un grave baco che consentirebbe ad un cracker di confezionare pagine web malevole, in grado di far breccia nel sistema della vittima se visualizzate con una versione non debitamente aggiornata di Internet Explorer.

La seconda, è una modifica alle funzionalità. In seguito alla risoluzione della disputa relativa all'utilizzo illecito di tecnologie brevettate da Eolas, Internet Explorer può finalmente utilizzare nuovamente controlli ActiveX automaticamente, senza richiedere all'utente un click esplicito per attivarli.

>> Bollettino Microsoft e download

Vulnerability in DNS Client... (MS08-020)

Un problema nel client DNS di Windows 2000, Windows XP, Windows Vista (sprovvisto di Service Pack) e Windows Server 2003 espone l'utente al rischio di DNS spoofing: un cracker potrebbe infatti rispondere ad una richiesta di risoluzione di un nome a dominio con un IP fasullo, direzionando quindi a propria discrezione l'accesso dell'utente.

Invero, il bollettino Microsoft è particolarmente avaro di dettagli circa il problema e le relative modalità con cui possa essere sfruttato. Fortunatamente, non sono riportati effetti collaterali causati dall'installazione di questo aggiornamento, motivo per cui raccomando di procedere con l'installazione alla prima occasione utile.

>> Bollettino Microsoft e download

Vulnerability in Windows Kernel... (MS08-025)

Questa patch interesserà particolarmente i gestori di Internet Cafè, ed altre postazioni di accesso condivise.

Un problema nel kernel di Windows (qualsiasi versione) potrebbe infatti consentire ad un utente con privilegi limitati dotato di un accesso fisico al terminale di acquisire privilegi di amministratore.

>> Bollettino Microsoft e download

Vulnerabilities in Microsoft Visio... (MS08-019)

Questo aggiornamento sostituisce il precedente MS07-030.

Si tratta nuovamente di una imperfezione nel modo in cui il programma di disegno più diffuso gestisce due tipi di file: quelli nativi (estensioni .VSD, .VSS, o .VST) e il formato AutoCAD . (estensione .DXF).

Anche in questo caso, un cracker potrebbe confezionare un file malformato in grado di aprire una breccia nel sistema della vittima in caso il documento venisse visualizzato con una versione non debitamente aggiornata di Visio.

Sono a rischio tutte le versioni del programma, dalla 2002 (inclusa in Office XP) alla 2007 (anche se dotata di Service Pack). Sono invece al sicuro tutti i Microsoft Visio Viewer, in qualsiasi versione.

>> Bollettino Microsoft e download