Punto informatico Network

Scudo, aggiornamenti, Windows Update, attenzione

Bollettino Microsoft - Dicembre 2010

15/12/2010
- A cura di
Zane.
Mondo Windows - L'ultimo appuntamento del 2010 con la sicurezza dell'ecosistema Windows è il più "carico" mai visto: 17 bollettini risolvono 40 debolezze, molte delle quali considerate però solo "Important". Frattanto, si fa il punto della situazione e si valuta l'efficacia della coppia DEP+ASLR.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

sicurezza (1) , microsoft (1) .

Valutazione

  •  
Voto complessivo 4 calcolato su 19 voti

L'appuntamento di questo dicembre 2010 con il consueto carico di aggiornamenti Microsoft è indubbiamente molto ricco. Sono infatti ben 17 i bollettini pubblicati, ovvero un record assoluto nella storia dell'azienda.

Le altrettante patch presentate al pubblico correggono un gran totale di 40 debolezze in Windows, Office, Internet Explorer, SharePoint ed Exchange.

Fra i bollettini di questo mese, solo due hanno un livello di pericolosità tale da poter essere considerati problemi "critici": le altre 14 patch sono infatti classificate come "Important", mentre una è solo "Moderate".

Cumulative Security Update for Internet Explorer (MS10-090)

La prima patch di dicembre risolve 7 differenti vulnerabilità rintracciate in Internet Explorer, fra le quali figura anche quella trattata in "Microsoft: quel CSS può sfondare Internet Explorer".

Alcune di esse sono estremamente serie, e potrebbero consentire ad un cracker di confezionare una pagina web in grado di compromettere un PC che la visualizzasse con una versione non debitamente aggiornata di Internet Explorer 6, 7 o 8.

L'update deve essere considerato assolutamente prioritario per tutti coloro che utilizzino il browser Microsoft come principale programma di navigazione.

» Bollettino Microsoft e download

Vulnerabilities in the OpenType Font (OTF) Driver... (MS10-091)

Il bollettino MS10-091 presenta invece un update studiato per epurare diversi errori nel driver Windows Open Type Font (OTF). Stranamente, le postazioni dotate di Windows XP risultano meno esposte rispetto alle versioni successive, per le quali invece il pericolo è invece massimo.

Questo problema può essere sfruttato via web, anche in caso si utilizzasse un browser web alternativo a Internet Explorer.

» Bollettino Microsoft e download

Gli altri update

Oltre ai due bollettini critici, l'azienda ha presentato anche i seguenti update, considerati "Important".

Classificazioni a parte, è bene non sottovalutare il pericolo potenziale: sebbene infatti sussistano una serie di complicazioni che rendono meno immediato per un aggressore far leva sui difetti, il rischio concreto di vedersi compromettere il PC permane.

Questo terzo gruppo di aggiornamenti risultano, secondo Microsoft Security Response Center (MSRC) meno prioritari:

Guardando al 2010..

L'ultimo appuntamento dell'anno con la sicurezza dell'ecosistema Windows è una buona occasione per trarre qualche conclusione sul 2010 agli sgoccioli.

"Guardando al 2010, questo mese porta il computo totale dei bollettini a 106, che sono più di quanti ne abbiamo rilasciati negli anni scorsi" ha riconosciuto il gigante del software.

Il post ha tuttavia spiegato che questo sia da attribuiresi all'ampio numero di software ormai molto datati che l'azienda è costretta a mantenere aggiornati a causa degli impegni contrattuali con i clienti: fra tutti, si cita in particolare il vetusto Windows XP, per il quale Microsoft continuerà a rilasciare aggiornamenti di sicurezza fino ad aprile 2014.

Di DEP e ASLR

Qualche giorno addietro, il blog ufficiale dedicato ai ricercatori di sicurezza Security Research & Defense ha pubblicato un interessante approfondimento dal titolo "On the effectiveness of DEP and ASLR".

Nel pezzo, Matt Miller, MSEC Security Science, analizza l'efficacia delle tecnologie Data Execution Prevention (DEP) e Address Space Layout Randomization (ASLR) presenti in coppia a partire da Windows Vista come strumenti addizionali a difesa del sistema operativo.

Il ricercatore conclude che, benché siano effettivamente in circolazione alcune tecniche d'aggressione in grado di scavalcare tali meccanismi, DEP e ASLR sono oggi in grado di complicare notevolmente la vita ai criminali, rendendo più difficile (e, quindi, più costosa) la realizzazione di exploit funzionanti.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.28 sec.
    •  | Utenti conn.: 72
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.14