www.MegaLab.it

Se il 2004 si è chiuso con una serie di hotfix tutto sommato non molto importanti, il nuovo anno sia apre per Windows molto meno bene: questo mese infatti Microsoft ha rilasciato diversi bollettini di sicurezza di primaria importanza (raccomandiamo la massima priorità soprattutto per il MS05-002) che suggeriamo di installare alla prima occasione, tanto in ambito aziendale quanto sui computer di casa.

Interessante notare che, come già visto anche nei mesi scorsi, il Service Pack 2 per Windows XP mette al riparo da 2 su 3 vulnerabilità presentate.

Meno bene Windows Server 2003, esposto su tutti i fronti: la situazione dovrebbe migliorare con l'introduzione della funzionalità DEP (Data Execution Prevention) prevista con l'imminente Service Pack. Fino ad allora comunque, e bene rafforzare i controlli del proprio server.

Vulnerability in HTML Help Could Allow Code Execution (MS05-001)

Ancora una volta l'integrazione fra browser web e sistema operativo introduce problematiche di sicurezza per tutti i sistemi Microsoft, da Windows 98 a Windows Server 2003 (a parte NT).

L'ultima versione della guida in linea di Windows utilizza infatti il motore di rendering di Internet Explorer per visualizzare i testi dell'help e permettere all'utente di navigare il supporto.

Sfruttando una debolezza del componente hhctrl.ocx, un utente ostile potrebbe confezionare una pagina web che, se visitata con un sistema non aggiornato, potrebbe invocare una guida in linea malformata nella stessa zona di privilegi di una fidata e permettere al cracker di eseguire codice a propria scelta, prendendo di fatto il pieno controllo del sistema.

Sebbene non sia ufficialmente riportato nel bollettino ufficiale, reputiamo che la vulnerabilità possa essere parzialmente arginata anche senza installare la patch, ma utilizzando un browser web differente da Internet Explorer, quale Opera, Mozilla o il sempre più diffuso Firefox. In tal caso però tutti i file della guida in linea (.chm) dovranno essere trattati con la massima cautela, poiché potenzialmente pericolosi.

Segnaliamo inoltre che installando la patch sono stati riportati alcuni problemi di usabilità al sistema operativo, in caso non fosse installato un aggiornamento precedente.

Molte fonti riportano che già esiste un exploit per questa vulnerabilità (denominato "Phel") distribuito Rete: prendere provvedimenti al più presto è quindi fondamentale.

• Windows XP
• Windows 2000
• Windows Server 2003
• Windows 98/98SE/ME: visitare Windows Update

Vulnerability in Cursor and Icon Format.. (MS05-002)

Questo bollettino risolve due gravissime vulnerabilità presenti nel modulo di visualizzazione icone e puntatori che affligge tutti i sistemi operativi Microsoft, tranne Windows XP nel caso fosse installato il Service Pack 2.

Sfruttando una di queste debolezze, un utente ostile potrebbe bloccare il sistema da remoto o, peggio, prenderne pieno controllo.

La situazione è particolarmente grave: per essere assaliti infatti, potrebbe essere sufficiente visualizzare una qualsiasi immagine bitmap, icona o puntatore del mouse nel proprio sistema operativo. Come se la situazione non fosse abbastanza grave, la funzione LoadImage afflitta dal problema viene esposta dal sistema operativo sottoforma di API: qualsiasi programma che richiamasse questa funzione sarebbe quindi a rischio.

Raccomandiamo di aggiornare il proprio sistema alla primissima occasione: un exploit sembra essere già disponibile.

• Windows XP (aggiornamento necessario solo in caso non fosse installato il Service Pack 2)
• Windows 2000
• Windows Server 2003

• Windows NT Server
• Windows 98/98SE/ME: visitare Windows Update

Vulnerability in the Indexing Service.. (MS05-003)

L'ultima falla del mese interessa principalmente Windows XP senza Service Pack 2 e Windows Server 2003: nonostante sia classificata come "Important" la sua pericolosità è, tutto sommato, abbastanza moderata.

Il Servizio di Indicizzazione è una utilità sfruttata dal sistema operativo per velocizzare le ricerche di file sul disco fisso. La mancata validazione delle interrogazioni passate al modulo potrebbe far straripare il "solito" buffer, eseguendo codice a discrezione del cracker.

Nella maggior parte dei casi, la falla può essere sfruttata unicamente da un utente in grado di accedere fisicamente al sistema, e dotato delle opportune credenziali per fare login. La situazione cambia in caso sia presente il web server IIS: in tal caso il servizio di indicizzazione sarebbe accessibile anche da remoto.

Raccomandiamo quindi l'aggiornamento unicamente alle postazioni di lavoro pubbliche, quali Internet cafè e worksation condivise nonché a sistemi moniti di IIS.

• Windows XP (aggiornamento necessario solo in caso non fosse installato il Service Pack 2)
• Windows Server 2003