Microsoft rilascia una dozzina di patch

Microsoft rilascia una dozzina di patch

BigM ha pubblicato nove bollettini di sicurezza che raccolgono le patch sviluppate negli ultimi due mesi per Windows e Internet Explorer. Tra le falle più serie almeno un paio potrebbero essere utilizzate dai creatori di worm
BigM ha pubblicato nove bollettini di sicurezza che raccolgono le patch sviluppate negli ultimi due mesi per Windows e Internet Explorer. Tra le falle più serie almeno un paio potrebbero essere utilizzate dai creatori di worm


Redmond (USA) – Dopo aver saltato l’appuntamento di settembre, Microsoft ha ripreso il suo tradizionale ciclo di pubblicazione mensile dei bollettini di sicurezza rilasciando 14 patch suddivise in 9 bollettini. Di queste correzioni, che riguardano Windows, Internet Explorer, DirectX ed Exchange, tre sono classificate come “critiche”, quattro come “importanti” e due come “moderate”.

Tutte le falle valutate come critiche o importanti possono consentire l’esecuzione di codice da remoto, anche se la pericolosità di quelle appartenenti a quest’ultima categoria è in genere mitigata da vari fattori.

Tra le vulnerabilità che più preoccupano gli esperti di sicurezza vi è quella del Microsoft Distributed Transaction Coordinator (MSDTC) descritta nel bollettino MS05-051 . MSDTC è un servizio utilizzato per coordinare ogni sorta di transazione distribuita, specie nei cluster di server, tra cui le query ai database. Le versioni di Windows con kernel non NT (98 e ME), come anche Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, non sono interessate dal problema: questo risulta invece particolarmente insidioso in Windows 2000.

“In Windows 2000, si tratta di una vulnerabilità legata all’esecuzione di codice in modalità remota”, si legge nel bollettino di Microsoft. “In Windows XP SP1 e Windows Server 2003, si tratta di una vulnerabilità legata all’acquisizione di privilegi più elevati a livello locale. In Windows XP SP1, infine, una debolezza potrebbe consentire l’esecuzione di codice in modalità remota in caso di avvio del servizio MDTC. Sfruttando questo problema, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi”.

In Windows Server 2003 senza SP1 il servizio viene avviato per impostazione predefinita, ma la sua configurazione non supporta l’accesso di rete DTC. In Windows XP SP1, MSDTC non viene avviato di default, ma questo in genere può essere fatto da qualsiasi utente locale.

Alcuni esperti hanno spiegato che questo bug è molto simile a quello corretto lo scorso agosto nel sistema plug and play di Windows, lo stesso che nell’arco di pochi giorni è stato sfruttato dal famigerato worm Zotob . Il rischio, anche in questo caso, è che la vulnerabilità di MSDTC possa essere utilizzata da nuovi worm.

Il bollettino MS05-051 contiene anche un’altra falla critica che, secondo molti esperti, non è meno grave della precedente. Si tratta di un bug contenuto in COM+ (Component Object Model Plus), un importante componente di sistema che gestisce le attività di gestione delle risorse, come ad esempio l’allocazione dei thread e l’integrità dei dati. Anche in questo caso, sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Microsoft sostiene che la falla risulta particolarmente pericolosa in Windows 2000 e Windows XP SP1 e di gravità più moderata in Windows XP SP2 e Windows Server 2003 (con gli ultimi service pack, la falla può essere sfruttata solo in locale). Sono invece del tutto immuni Windows 98 e Me.

Le altre due vulnerabilità del bollettino MS05-051, riguardanti il protocollo TIP (Transaction Internet Protocol), possono essere utilizzate esclusivamente per eventuali tipi di attacco denial of service (DoS) e, per tale ragione, sono state valutate da Microsoft di rischio moderato.

Il secondo bollettino “critico” è l’ MS05-050 , e riguarda una vulnerabilità causata da un errore di buffer overflow di DirectShow, un’architettura di DirectX per lo streaming di contenuti multimediali. L’ US-CERT ha spiegato che inducendo un utente ad aprire un file multimediale malformato (ad esempio un “.avi”) con un’applicazione che utilizza DirectShow, un aggressore potrebbe essere in grado di eseguire del codice a sua scelta con gli stessi privilegi dell’utente. Il problema affligge, con lo stesso impatto, tutte le versioni di Windows in cui sia installata una versione di DirectX compresa fra la 8.0 e la 9.0c.

Il terzo bollettino con massimo livello di gravità è l’ MS05-052 , e contiene una patch cumulativa per Internet Explorer che corregge una falla scoperta scoperto da eEye Digital Security lo scorso agosto.

“La creazione di un’istanza in Internet Explorer di Microsoft DDS Library Shape Control (Msdds.dll) e di altri oggetti COM può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato”, si legge sul bollettino del big di Redmond. “Poiché questi oggetti COM non sono stati progettati per essere istanziati in Internet Explorer, questo aggiornamento imposta il kill bit per l’identificatore di classe (CLSID) interessato in questi oggetti COM”.

Microsoft sostiene che il problema è drasticamente meno grave in Internet Explorer 6 per Windows Server 2003 con o senza SP1.

I quattro bollettini “importanti” sono costituti dall’ MS05-046 , che riguarda una vulnerabilità nel servizio client NetWare (versioni di Windows interessate: 2000, XP SP1 e Server 2003); l’ MS05-047 , che tratta di una vulnerabilità nel servizio plug and play (versioni di Windows interessate: 2000 e XP); l’ MS05-048 , che descrive una vulnerabilità nel servizio Microsoft Collaboration data Objects (CDO) (software interessati: Windows 2000, Windows XP, Windows Server 2003, Exchange 2000); e l’ MS05-049 , che contiene le patch per alcune vulnerabilità della shell di Windows e di Explorer (versioni di Windows interessate: 2000, XP, Server 2003).

Per finire, i due bollettini classificati di rischio moderato sono invece l’ MS05-044 , che riguarda una vulnerabilità nel client FTP integrato in Windows sfruttabile per modificare il percorso per il trasferimento dei file (software interessato: Windows XP SP1, Windows Server 2003 senza SP1, IE6); e l’ MS05-045 , che corregge una vulnerabilità nel Network Connection Manager di Windows utilizzabile per attacchi DoS (versioni di Windows interessate: 2000, XP, Server 2003).

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 13 ott 2005
Link copiato negli appunti