Tre sono stati classificati come critici. Risolte complessivamente 14 vulnerabilità di Windows, Internet Explorer e FrontPage Server
E’ arrivato il consueto "patch day" mensile di Microsoft. L’azienda
di Redmond ha rilasciato cinque patch di sicurezza che, complessivamente, risolvono
14 vulnerabilità presenti in Windows, Internet Explorer
e FrontPage Server.
Per evitare di correre rischi, è bene provvedere immediatamente all’installazione
degli aggiornamenti indicati per il proprio sistema operativo: non sono infatti
escluse da problemi neppure le versioni più recenti di Windows (XP SP2,
2003 Server e XP x64). Ecco, nel dettaglio, tutte le patch appena rilasciate:
– MS06-013
Aggiornamento cumulativo di aprile 2006 per Internet Explorer.
La patch è stata segnalata come "critica"
poiché risolve problematiche di sicurezza, presenti nelle versioni 6.0
(tutte le versioni di Windows) e 5.01 SP4 (Windows 2000) del browser Microsoft,
assai pericolose. Tra le falle di sicurezza risolte (ben 10), c’è anche
quella relativa all’utilizzo dell’istruzione createTextRange(). Sul web era
stato già diffuso il codice exploit in grado di sfruttare la lacuna per
far danni: utilizzando la funzione createTextRange() unitamente ad un checkbox
o ad un radio button, un aggressore potrebbe infatti causare un errore con lo
scopo di aprire l’intero sistema ad attacchi remoti (download di virus,
spyware e malware in generale).
Dopo il rilascio della patch cumulativa MS06-013 per Internet Explorer, Secunia
ha abbassato il livello di rischio collegato all’uso del browser Internet Explorer,
da "estremamente critico" a "moderatamente critico". Secondo
gli esperti di sicurezza danesi, sarebbero infatti ancora 20
le vulnerabilità da risolvere nel prodotto Microsoft.
– MS06-014
Aggiornamento per il componente MDAC (Microsoft Data Access
Components). MDAC è un gruppo di tecnologie Microsoft che permette ai
programmatori software di sfruttare un’interfaccia omogenea per l’accesso, tramite
le proprie applicazioni, ad un gran numero di sorgenti di dati. Gli MDAC si
basano su diversi componenti: ActiveX Data Objects (ADO), OLE DB e Open Database
Connectivity (ODBC). Sono conservati anche componenti come Microsoft Jet Database
Engine, MSDASQL, e Remote Data Services (RDS) insieme con quelli ancor più
vecchi ("Data Access Objects API" e "Remote Data Objects").
L’aggiornamento appena reso disponibile, risolve un bug di sicurezza nei Remote
Data Services (RDS) che, se sfruttato, può favorire l’esecuzione di codice
nocivo sul sistema vittima (l’aggressore può assumerne completamente
il controllo). Sono affette dal problema praticamente tutte le versioni di Windows
(XP, Server 2003, x64 e Windows 2000 con gli MDAC 2.5-2.8 installati). Patch critica.
– MS06-015
Aggiornamento per la shell di Windows. Anche in questo caso
il problema di sicurezza riguarda tutte le versioni di Windows e risiede nelle
modalità con cui l’Explorer di Windows gestisce gli oggetti COM. Qualora
un aggressore remoto riuscisse a "convincere" l’utente a visitare
un sito web "maligno", contenenti oggetti opportunamente sviluppati
per sfruttare la falla, egli potrebbe prendere pieno possesso del sistema vittima.
Patch critica.
– MS06-016
Aggiornamento cumulativo per Outlook Express che corregge una
vulnerabilità – classificata come "importante"
– nella rubrica del client di posta proposto di default in tutte le versioni
di Windows.
– MS06-017
Patch correttiva che risolve un problema di sicurezza di FrontPage Server
Extensions il cui livello di criticità è riportato come
"moderato".
Microsoft, inoltre, ha rilasciato una revisione della patch MS06-005
per il Windows Media Player del febbraio scorso con lo scopo di risolvere i
problemi lamentati da alcuni utenti dopo l’applicazione dell’aggiornamento (blocchi
durante la riproduzione di file multimediali, reimpostazione della barra di
avanzamento) ed una nuova versione (la 1.15) dello Strumento
di rimozione malware.
