Punto informatico Network

Scudo, aggiornamenti, Windows Update, attenzione

Microsoft rilascia due patch straordinarie

29/07/2009
- A cura di
Zane.
Mondo Windows - Il problema è localizzato in una libreria di sistema, ma la funzione difettosa potrebbe essere raggiunta anche tramite Internet Explorer. L'azienda rilascia quindi due patch distinte: una per soli sviluppatori, ed un'altra destinata al grande pubblico.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

microsoft (1) , patch (1) , visual studio (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 126 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Durante la serata di ieri, Microsoft ha rilasciato due patch di sicurezza straordinarie. Si tratta di aggiornamenti per Visual Studio ed Internet Explorer che, considerata la concreta possibilità che i problemi corretti possano essere sfruttati a breve, non potevano attendere l'appuntamento regolare dell'11 agosto prossimo.

Il problema, in verità, è fondalmentalmente uno solo. Un baco scoperto nella libreria Microsoft Active Template Library (ATL) potrebbe consentire ad un utente ostile di portare un attacco che, in caso avesse successo, permetterebbe di eseguire codice da remoto e quindi prendere pieno controllo del calcolatore aggredito attraverso Internet.

MS09-034: per tutti

Un baco in una componente di sistema, quindi, ma che potrebbe essere raggiunto anche utilizzando Internet Explorer come vettore d'attacco: poiché la funzione fallata è richiamabile tramite ActiveX, un cracker potrebbe confezionare una pagina web malformata, in grado di far scattare la trappola automaticamente non appena aperta con una versione non debitamente aggiornata del navigatore web di Windows.

Ecco quindi che Microsoft ha rilasciato la patch presentata nel bollettino Cumulative Security Update for Internet Explorer (MS09-034): si tratta di un update incaricato di inibire la possibilità che Internet Explorer possa richiamare il componente difettoso, oltre a risolvere molteplici bachi simili, ma non direttamente correlati.

Sono interessate dal problema tutte le versioni di Internet Explorer (5.01, 6 SP1, 7 ed 8) abbinate a quasi tutti i sistemi operativi Microsoft. L'unico al sicuro è infatti Windows 7, però nella sola compilazione "RTM": Beta, RC e tutte le build trafugate parrebbero invece essere affette.

MS09-035: per soli sviluppatori

Ma poiché la falla risiede in una libraria riutilizzabile, è necessario che anche tutti gli sviluppatori che abbiano utilizzato tale componente provvedano a distribuire versioni corrette dei propri software.

A tale scopo, Microsoft ha presentato l'aggiornamento Vulnerabilities in Visual Studio Active Template Library... (MS09-035): si tratta di una patch per Visual Studio che sostituisce la libreria ATL fallata con una copia epurata dal problema, consentendo così ai programmatori di ricompilare i propri listati in maniera pressoché immediata, realizzandone una versione aggiornata e sicura.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.47 sec.
    •  | Utenti conn.: 65
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.32