www.MegaLab.it

Un bollettino di hotfix così massiccio non lo si vedeva davvero da tempo: Microsoft questo mese ha rilasciato infatti ben 12 aggiornamenti di sicurezza ai propri prodotti Windows e Office, di cui 8 a pericolosità "Critical", 3 "Important" e 1 "Moderate".

Ci permettiamo innanzitutto di muovere alcune critiche a Microsoft: pubblicheremo volentieri ogni replica del produttore alle stesse.

Qualche critica (speriamo costruttiva)

Non è pensabile di rilasciare 12 aggiornamenti alla volta in un solo sommario: questo causa non poca confusione nell'utenza (soprattutto per chi non utilizza gli aggiornamenti automatici di Windows Update), per non parlare degli amministratori di rete che debbano valutare i singoli aggiornanti. In occasioni come queste, raggruppare gli hotfix in "rollup package" cumulativi sarebbe una interessante alternativa.

In secondo luogo, chiediamo al gruppo di discernere in modo più netto le problematiche di Internet Explorer da quelle di Windows: come vedremo, molti bollettini interessano il singolo navigatore, e non tutto il sistema operativo.

In ultimo, un solo grado di pericolosità è insufficiente a classificare la reale urgenza di tali aggiornamenti: attribuire a troppi hotfix il grado di pericolosità "Critical" è un po' come gridare "al lupo al lupo", in particolare come nel caso del MS05-010 di questo mese, in cui una vulnerabilità viene classificata come "critical", anche se, a conti fatti, per l'utenza desktop è assolutamente irrilevante.

Vulnerability in Microsoft Office XP... (MS05-005)

Il primo aggiornamento del mese riguarda le suite Office XP (non sono interessate la più data versione "2000" e la moderna "2003") e la sua controparte "alleggerita", cioè Works 2002-2003-2004. Sono a rischio anche Visio 2002 e Project 2002.

Questo aggiornamento risolve un problema legato alla gestione degli URL negli applicativi Office XP, che in talune occasioni non validano correttamente i dati in entrata: questa vulnerabilità potrebbe essere sfruttata da un cracker per prendere controllo del sistema, anche da remoto.

Raccomandiamo di installare questo aggiornamento alla primissima occasione.

• Bollettino Microsoft

Vulnerability in PNG Processing... (MS05-009)

I prodotti Microsoft mostrano nuovamente qualche problema nel gestire file di immagini.

Dopo le JPEG, questa volta è il formato PNG ad essere a rischio: un cracker potrebbe infatti veicolare codice eseguibile all'interno di queste immagini che, se visualizzate in Windows Media Player 9, Windows Messenger 5.0, MSN Messenger 6.1/6.2 causerebbero l'esecuzione del programma correlato, permettendo di fatto di prendere pieno controllo del sistema.

Anche i sistemi Windows 98/98SE/ME sono a rischio: trattandosi di una vulnerabilità critica, Microsoft distribuisce gratuitamente gli aggiornamenti anche per questi sistemi operativi.

Anche in questo caso raccomandiamo di aggiornare i propri sistemi al più presto. Il noto gruppo di cracking "AtmaCA" ha già rilasciato un exploit funzionante, che permette di creare una PNG malformata che, se utilizzata come avatar di MSN Messenger, sarebbe veicolo di attacco per qualsiasi altro utente nella lista contatti. Approfondiremo la questione nei prossimi giorni.

• Bollettino Microsoft

Vulnerability in the License Logging... (MS05-010)

Il terzo problema del mese interessa Windows 2000 Server, Windows Server 2003 e Windows NT.

Sono al sicuro gli obsoleti Windows 98/98SE/ME, gli utenti Windows XP con Service Pack 1 oppure 2 e Windows 2000 con Service Pack 3 oppure 4.

Se la vulnerabilità è di bassa rilevanza per l'utenza consumer, è di primario interesse per i sistemi server aziendali: un buffer non verificato nel servizio di gestione delle licenze di accesso CAL (License Logging Service) potrebbe esporre il server ad un attacco che nel caso più lieve potrebbe causare un crash del sistema, mentre nell'eventualità più grave potrebbe permettere all'aggressore di prendere pieno controllo dell'host bersaglio.

Per verificare se il vostro server è a rischio, portatevi su Strumenti di Amministrazione -> Servizi e cercate il processo "License Logging": se attivo, il server è vulnerabile e dovete installare l'aggiornamento idoneo al vostro sistema operativo.

• Bollettino Microsoft

Vulnerability in Server Message Block... (MS05-011)

Una vulnerabilità a tutto campo affligge i sistemi Microsoft, compresi quelli aggiornati agli ultimi Service Pack. Gli unici a salvarsi sono (ironicamente) gli obsoleti Windows 98/98SE/ME.

È stata rintracciata una vulnerabilità nel protocollo SMB (Server Message Block) utilizzato dai sistemi Windows per accedere a risorse condivise via rete: spedendo un messaggio malformato ad una macchina non debitamente protetta, un cracker potrebbe eseguire codice a propria scelta, prendendo pieno controllo del sistema.

Fortunatamente Windows Firewall incluso in Windows XP Service Pack 2 e Windows Server 2003 blocca di default l'accesso via Internet alle porte incriminate: in caso utilizzaste un firewall diverso, raccomandiamo di bloccare tutto il traffico in entrata sulle porte TCP 139 e TCP 445.

Con questo accorgimento sarete al sicuro da attacchi esterni, ma potenzialmente ancora vulnerabili da aggressioni provenienti LAN interna: valutate quindi di installare in ogni caso l'aggiornamento proposto.

• Bollettino Microsoft

Vulnerability in OLE and COM... (MS05-012)

Un hotfix cumulativo per diversi tipi di vulnerabilità, con pericolosità variabile fra il semplice aumento di privilegi e l'esecuzione di codice da remoto.

Per l'eterogeneità dei problemi risolti, e per la grande diffusione di applicazioni che utilizzano uno dei componenti fallati (OLE), raccomandiamo di installare l'aggiornamento su tutti i sistemi potenzialmente afflitti, con particolare attenzione ai server su cui fosse installato Microsoft Exchange.

• Bollettino Microsoft

Vulnerability in the DHTML Editing... (MS05-013)

Ancora una falla globale molto grave, che interessa tutti i sistemi operativi Microsoft, tanto i vecchi Windows 98/98SE/ME/NT quanto i moderni Windows XP/2000/2003.

Il problema è localizzato nel componente DHTML di Internet Explorer: sfruttando la vulnerabilità, un cracker potrebbe eseguire codice a propria scelta, oppure leggere dati sensibili dalla macchina bersagliata, il tutto inducendo l'utente a visualizzare una pagina web creata ad hoc o aprire una mail in formato HTML.

Internet Explorer e Outlook Express si confermano ancora una volta una accoppiata letale per la sicurezza del sistema: raccomandiamo quindi di NON installare la patch, ma risolvere il problema alla radice, utilizzando sistemi di rete intrinsecamente più sicuri, come Firefox e Thunderbird.

Non siamo gli unici a pensarla così: una raccomandazione analoga arriva anche dal CERT.

• Bollettino Microsoft

Cumulative Security Update for Internet Explorer (MS05-014)

Un ennesimo aggiornamento di sicurezza per il browser Microsoft Internet Explorer.

Le stesse raccomandazioni appena viste trovano nuovamente conferma: in caso non fosse possibile migrare a programmi alternativi, raccomandiamo l'installazione dell'aggiornamento alla primissima occasione.

• Bollettino Microsoft

Vulnerability in Hyperlink... (MS05-015)

Una vulnerabilità nel componente Hyperlink Object Library (una API che si occupa di gestire i collegamenti ipertestuali) potrebbe consentire ad un cracker di creare un link malformato che una volta cliccato su un sistema non debitamente aggiornato, permettere al rompiscatole di turno di prendere pieno controllo del sistema, eseguendo sullo stesso codice a propria discrezione.

Trattandosi di un componente invocato anche da altre applicazioni, la sola migrazione ad un browser alternativo non può essere ritenuta sufficiente per proteggere il sistema da questa debolezza.

Il componente incriminato è presente in tutte le versioni di Windows. Sebbene sia necessario che l'utente clicchi esplicitamente su un link malformato perché l'aggressione abbia successo, raccomandiamo comunque di aggiornare il sistema.

• Bollettino Microsoft

Le altre patch

Se gli aggiornamenti visti fin qui sono classificati come "Critical", gli altri update rilasciati questo mese hanno gravità minore.

ASP.NET Path Validation Vulnerability (MS05-004)

Una patch necessaria solamente per i sistemi adibiti a webserving, ed in particolare quelli basati su ASP.NET.

Una vulnerabilità nel .NET framework permetterebbe infatti ad un cracker di aggirare i meccanismi di autenticazione di ASP.NET, e guadagnare accesso a sezioni riservate.

• Bollettino Microsoft

Vulnerability in Windows Could Allow... (MS05-007)

Questa vulnerabilità interessa solamente Windows XP, anche se aggiornato mediante Service Pack 2.

Un bug nel sistema di condivisione delle risorse potrebbe permettere ad un cracker di leggere il nome di un utente collegato ad una risorsa di rete. In alcun modo tale vulnerabilità può essere utilizzata per seguire codice o scrivere dati senza disporre anche della relativa password associata all'account.

A nostro avviso a questo hotfix è stato attribuito un grado di pericolosità eccessivo. L'installazione della patch può essere superflua qualora il sistema sia dotato di un firewall di protezione: di default, Windows Firewall blocca ogni accesso via Internet alle risorse condivise, limitando la pericolosità di questo baco alla sola LAN.

• Bollettino Microsoft

Vulnerability in Windows Shell... (MS05-008)

La comoda funzionalità "clicca e trascina" (drag-n-drop) può causare esporre il sistema ad attacchi portati da remoto, se utilizzata all'interno di Internet Explorer: in caso utilizzaste questo navigatore (oppure il mailer Outlook Express) raccomandiamo di installare l'aggiornamento quanto prima.

Anche in questo caso, un browser alternativo come Firefox mette al riparo dal problema.

• Bollettino Microsoft