www.MegaLab.it

[Zane]

Bollettino Microsoft - Luglio 2009 - Commenti

Windows in primo piano, con tre aggiornamenti (di cui due molto attesi per la versione "XP"). Ma c'è anche una patch per Publisher, una per ISA Server e una per le soluzioni di virtualizzazione. [continua...]

[rolloLG]

Vulnerabilities in the Embedded OpenType Font Engine.. (MS09-029)
Sbagli quando sconsigli IE. È l'esatto contrario. IE7-8 su Vista/Win7 con Modalità protetta attivata sono sandboxati per natura e più sicuri di qualsiasi altro browser lavorando in Low Integrity Level sia il task principale che i plugin. L'eventuale exploit del font engine quindi si troverebbe con diritti persino più limitati dell'utente normale. Un programma lanciato dall'utente dal menu di Vista/Win7 ha già per esempio privilegi più elevati (!).
Inoltre nel bollettino stesso si dice che l'uso di privilegi ridotti può (non è specificato) mitigare già di per sè la falla. Su Vista e Win7 con UAC attivo (e al massimo livello su Win7, per carità, non lasciatelo a default) perciò il rischio è come sempre già mitigato...

[Zane]

Ciao rolloLG,
innanzitutto ci tengo a puntualizzare che in questa sede non ho affatto sconsigliato l'uso di IE! Ho solamente precisato che, utilizzando un navigatore diverso, il problema potrebbe non sussistere. La differenza è sicuramente sottile, ma credo ci sia.

In secondo luogo: è Microsoft stessa che classifica il problema "critical", anche sotto Windows Vista: se non vi fossero i presupposti per rimanere realmente compromessi, la cosa sarebbe stata bollata come "moderate" o, al più, "important".

Sotto Windows XP inoltre, i meccanismi alla base di Internet Explorer Protected Mode non sono presenti, nemmeno se è stato installato IE8, né è prassi comune accedere come utente limitato.

Infine, hai ragione quando sostieni che Internet Explorer Protected Mode potrebbe mitigare il problema: d'altro canto però, la cosa funziona solo per chi ha (saggiamente) mantenuto UAC attivo, cosa che non tutti fanno.

[Zane]

Di nuovo le mie più sentite scuse per questo casino con i commenti: evidentemente c'è ancora qualcosa da sistemare..

[rolloLG]

Di nuovo le mie più sentite scuse per questo casino con i commenti: evidentemente c'è ancora qualcosa da sistemare..

 Pare di sì ;)
comunque dicevo che non è la prima volta che MS stessa bolla come Critical bug che in realtà con UAC e bassi privilegi non possono avere effetti nocivi. Di solito, come in questo caso liquidano con una noticina "su sistemi con privilegi ridotti potrebbe avere un impatto minore" senza specificare. Onesti perché comunque non è una scusa per declassarlo... siamo d'accordo.
Leggo sempre con piacere i tuoi report sui Bollettini che vanno un po' più a fondo dei soliti news-comment su altri siti :)