www.MegaLab.it

L'ultimo bollettino di questi primi dieci anni di millennio è arrivato. Microsoft conclude senza "botto" (fortunatamente), ma comunque con un buon carico di aggiornamenti: tre sono Critical, mentre altri tre sono considerati Important.

Il più significativo è quello riguardante Internet Explorer, mentre gli altri update interessano solamente ambiti più specifici.

Vulnerabilities in Internet Authentication Service... (MS09-071)

Il primo aggiornamento di dicembre interessa tutti i sistemi operativi del gruppo, ad eccezione della generazione Windows 7/Windows Server 2008 R2, ed è considerato particolarmente pericoloso solamente su Windows Server 2008 Service Pack 2.

A causa di un baco nel componente Internet Authentication Service (IAS) un utente ostile potrebbe aggredire un sistema non debitamente aggiornato tramite un messaggio di rete malformato, in grado di causare effetti dalla gravità variabile fra l'innalzamento dei privilegi e l'esecuzione di codice da remoto.

Il bollettino spiega che la possibilità che le versioni client di Windows possano essere compromesse facendo leva su questa debolezza sono praticamente nulle per una serie di motivi logici e strutturali, e che la patch per Windows 2000 Professional, Windows XP, e Windows Vista è stata rilasciata unicamente a scopo preventivo.

>> Bollettino Microsoft e download

Vulnerability in Microsoft Office Project... (MS09-074)

Il software di pianificazione Microsoft Project è afflitto da un baco che potrebbe consentire ad un utente ostile di realizzare un file malformato in grado dare il via ad un attacco, in caso venisse aperto con una versione non debitamente aggiornata del programma.

Il rischio è più elevato per la vecchia versione 2000, mentre la 2002 e la 2003 parrebbero essere leggermente meno esposte.

Tutti gli altri prodotti, quali la declinazione server di Microsoft Project o la versione 2007, sono invece completamente immuni.

>> Bollettino Microsoft e download

Cumulative Security Update for Internet Explorer (MS09-072)

L'aggiornamento proposto in questo bollettino corregge diversi problemi di sicurezza che interessano tutte le versioni di Internet Explorer.

Di particolare rilevanza è il fatto che questo update risolva una importante falla che affligge le versioni 6 e 7 del programma. Tale lacuna potrebbe consentire ad un cracker di confezionare una pagina HTML malevola che, una volta visualizzata con una versione sprotetta del navigatore, sarebbe in grado di eseguire codice da remoto.

Il problema in questione non interessa Internet Explorer 8, che è comunque afflitto dagli altri difetti corretti da questo update.

Il consiglio è di installare l'hotfix alla primissima occasione utile: Microsoft segnala infatti che un exploit funzionante basato sul problema che interessa IE 6/7 è stato pubblicamente rilasciato in rete, e sono già state riscontrate alcune aggressioni basate su di esso.

>> Bollettino Microsoft e download

Vulnerability in Local Security Authority Subsystem Service... (MS09-069)

L'aggiornamento presentato nel bollettino MS09-69 risolve un problema non particolarmente grave, ed estremamente difficile da sfruttare, che interessa tutti i sistemi operativi Microsoft precedenti a Windows Vista.

Il baco potrebbe consentre ad un autente remoto e autenticato di inviare un messaggio ISAKMP malformato durante una comunicazione veicolata tramite Internet Protocol security (IPsec). Tale pacchetto, una volta ricevuto dal servizio Local Security Authority Subsystem Service (LSASS) in esecuzione sul PC della vittima, potrebbe causare il blocco del calcolatore.

>> Bollettino Microsoft e download

Vulnerabilities in Active Directory Federation Services... (MS09-070)

Un utente ostile in possesso di credenziali d'accesso valide ad un server governato da Windows Server 2003 oppure Windows Server 2008 configurato per erogare il servizio Active Directory Federation Services potrebbe riuscire a causare l'esecuzione di codice da remoto sul sistema (e, di conseguenza, guadagnarsi l'accesso parziale o totale al calcolatore) inviando un messaggio HTTP debitamente realizzato.

Gli amministratori di sistema preoccupati di tale eventualità possono arginare il problema installando la patch in questione.

>> Bollettino Microsoft e download

Vulnerability in WordPad and Office Text Converters... (MS09-073)

Microsoft Word 2002 (parte della suite Microsoft Office XP) e 2003, così come Microsoft Works 8.5, Microsoft Office Converter Pack, e le versioni di WordPad incluse in tutte le incarnazioni di Windows precedenti a Windows Vista, sono interessate da un difetto che può consentire ad un cracker di realizzare un documento "avvelenato", in grado causare danni variabili una volta aperto su un sistema non opportunamente aggiornato.

Il file, confezionato secondo le vetuste specifiche dettate dal formato Word 97, potrebbe infatti non essere correttamente interpretato, innescando ad un accesso illegale alla memoria e, di conseguenza, una possibile esecuzione di codice da remoto.

È importante notare che l'aggiornamento disabilita il funzionamento di alcune componenti indispensabili per utilizzare formati di file molto datati: per maggiori informazioni, consultare l'articolo 975539 del supporto tecnico Microsoft.

>> Bollettino Microsoft e download

Altri aggiornamenti

Oltre agli update presentati nel bollettino, Microsoft ha rilasciato altri aggiornamenti.

La patch per Windows 2000 presentata nel bollettino MS08-037 è stata aggiornata: gli utenti sono invitati ad installarla nuovamente.

In una mossa alquanto inusuale, il gruppo ha pubblicato un aggiornamento addizionale per rimediare ad un problema di sicurezza causato dal codec Indeo utilizzato sotto Windows 2000, Windows XP e Windows Server 2003: maggiori informazioni sono in Microsoft Security Advisory (954157).

Un secondo comunicato descrive invece un problema molto specifico in Integrated Windows Authentication: il contenuto del documento Microsoft Security Advisory (974926) è comunque destinato solamente a sviluppatori ed amministratori di sistema.

Infine, il gruppo ha rilasciato la consueta versione aggiornata di Malicious Software Removal Tool (MSRT): il nuovo arrivo di questo mese è il worm Hamweq.