Risolte in totale 11 vulnerabilità. Tre patch classificate come critiche
Questo mese, nel corso del giorno per rilascio di aggiornamenti di sicurezza,
Microsoft ha reso disponibili sette nuove patch che consentono di risolvere
un totale di 11 vulnerabilità, presenti nel sistema operativo ed in alcuni
dei software del colosso di Redmond.
Dei sette bollettini, tre riguardano altrettante vulnerabilità circa
le quali, nelle scorse settimane, sono stati resi noti pubblicamente, da parte
di terzi, i dettagli tecnici (una patch corregge il problema relativo all’errata
gestione dei file in formato ASX di Windows Media Player in modo da scongiurare
l’esecuzione di codice maligno).
Le vulnerabilità più critiche lato client sono risolvibili mediante
l’applicazione delle patch MS06-072 (aggiornamento cumulativo per Internet Explorer)
e MS06-078 (Media Format). La vulnerabilità più pericolosa a livello
di rete, può essere corretta attraverso l’installazione della patch MS06-074
(SNMP):
- MS06-072
Patch cumulativa per Internet Explorer. Risolve quattro vulnerabilità
presenti in Internet Explorer 5.01 e 6.0 che riguardano la gestione di script
e cartelle. Un aggressore remoto potrebbe sfruttare le varie vulnerabilità
spingendo l’utente-vittima a visitare un sito web “maligno” contenente
il codice dannoso. La patch è classificata come “critica”. - MS06-073
Una vulnerabilità in Visual Studio 2005 potrebbe permette l’esecuzione
di codice da remoto. Questo aggiornamento di sicurezza corregge una falla
“zero-day” scoperta nell’ActiveX “WMI Object Broker” di
Visual Studio 2005 che potrebbe agevolare l’esecuzione di codice potenzialmente
nocivo all’interno dell’account dell’utente correntemente loggato in Windows.
La patch è classificata come “critica” (il codice exploit
è stato pubblicamente reso disponibile prima di darne notifica a Microsoft,
ponendo così a rischio migliaia di utenti). Per verificare su quali
sistemi è installato il controllo ActiveX vulnerabile, eEye Research
suggerisce di cercare la presenza della chiave HKEY_CLASSES_ROOT\CLSID\{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
all’interno del registro di Windows. - MS06-074
Una vulnerabilità in SNMP può consentire l’esecuzione di codice
in modalità remota. La patch risolve una vulnerabilità presente
nel servizio SNMP di Windows. Dato che in questo caso non è richiesta
l’interazione dell’utente per poter essere sfruttata da parte di malintenzionati,
la falla di sicurezza viene considerata come la più pericolosa di questo
mese.
SNMP è un protocollo che opera al livello 7 del modello OSI: esso consente
la gestione e la supervisione di apparati collegati in una rete. Tra i “fattori
attenuanti”, bisogna sottolineare che il servizio SNMP non è abilitato
di default in Windows. La patch è catalogata da Microsoft come “importante”
e riguarda i sistemi Windows 2000, XP, Server 2003. - MS06-075
Una vulnerabilità in Windows può consentire l’acquisizione di
privilegi più elevati. Un utente malintenzionato, creando un apposito
file “ad hoc” può essere in grado di acquisire privilegi
più elevati rispetto a quelli garanti dall’account in uso avendo potenzialmete
l’opportunità di prendere il completo controllo della macchina. Ciò
può avvenire mediante la manipolazione dei file “manifest”
associati alle varie applicazioni installate. Un file “manifest”
è un file in formato XML che contiene metadati ovvero informazioni
riguardanti l’applicazione, alle varie dipendenze della stessa, ai tipi utilizzati
e così via. Il “manifest” può essere presente nella
stessa cartella dell’applicazione cui si riferisce oppure inserito direttamente
all’interno del suo eseguibile. La vulnerabilità non può essere
sfruttata da remoto se non attraverso una sessione RDP (Remote Desktop Protocol)
autenticata. La patch riguarda gli utenti di Windows XP SP2 e Windows Server
2003 che non abbiano ancora installato il Service Pack 1; è considerata
come di livello “importante”. - MS06-076
Aggiornamento cumulativo per la protezione di Outlook Express. Questa patch
permette di “mettere una pezza” ad una vulnerabilità presente
nel client di posta elettronica Outlook Express (versioni 5.5 e 6) che può
consentire, ad un aggressore, di eseguire codice nocivo con i privilegi di
sistema facenti capo all’utente correntemente loggato in Windows. Ciò
può accadere nel momento in cui l’utente-vittima dovesse aprire un
file con estensione .WAB (rubrica di Outlook Express) proposto, per esempio,
come allegato ad un messaggio di posta elettronica.
La vulnerabilità è classificata da Microsoft come “importante”. - MS06-077
Una vulnerabilità nel “Servizio di installazione remota”
(“Remote Installation Service”; RIS) potrebbe consentire l’esecuzione
di codice in modalità remota. Nel caso di sistemi sui quali la patch
non venga installata, la falla di sicurezza può essere sfruttata da
remoto senza l’interazione dell’utente. L’aggressore, tuttavia, dovrebbe essere
in grado di accedere al servizio RIS. La pericolosità della vulnerabilità
(che coinvolge solo sistemi Windows 2000 e solo qualora il servizio sia attivato)
è indicata come “importante”. Il servizio di installazione
remota, comunque, non è abilitato per impostazione predefinita: i rischi
sono quindi ridotti ad un numero molto più ristretto di sistemi. - MS06-078
Una vulnerabilità in Windows Media Format può consentire l’esecuzione
di codice in modalità remota. La patch permette di risolvere definitivamente
due vulnerabilità collegate con il riproduttore multimediale di Microsoft.
L’una riguarda la gestione dei file in formato ASF; l’altra di quelli in formato
ASX (la più recente). Un aggressore remoto può essere in grado
di eseguire codice nocivo sul personal computer dell’utente semplicemente
invitandolo all’apertura di file ASF/ASX opportunamente modificati per far
leva sulla falla di sicurezza. Sono interessate dal problema tutte le versioni
di Windows fatta eccezione per i sistemi ove sia stato installato Windows
Media Player 11, Windows Vista o Windows Server 2003 Itanium (siano questi
ultimi provvisti o meno del Service Pack 1).
Oltre alle sette patch “inedite”, Microsoft ha pubblicato quest’oggi
anche una revisione del bollettino MS06-059 (Vulnerabilità in Microsoft
Excel possono consentire l’esecuzione di codice in modalità remota).
La patch è stata ripubblicata poiché, in alcuni scenari, questa
non veniva correttamente installata (sebbene Windows Update la indicasse come
applicata, ciò poteva non rispondere al vero): la nuova versione della
patch corregge definitivamente il problema.
Questo aggiornamento di sicurezza, che riguarda tutti gli utenti di Office 2000,
Office XP, Office 2003, Office 2004 per Mac, Office v.X per Mac e Works Suite,
è classificato come “critico”.
Come di consueto, infine, è stata rilasciata una versione aggiornata
(la 1.23) dello “Strumento di rimozione malware”, prelevabile facendo
riferimento a questa pagina.