Internet Explorer, tempo di megapatch

Con i bollettini di aprile Microsoft ha corretto oltre una dozzina di vulnerabilitÓ, tra cui dieci relative ad Internet Explorer. Tra le falle sistemate ve ne sono alcune giÓ sfruttate dai cracker per seminare codici dannosi

Redmond (USA) - Nella notte di martedý Microsoft ha pubblicato cinque bollettini di sicurezza contenenti, nel complesso, 14 patch relative a Internet Explorer, Outlook Express, Windows e FrontPage. L'aggiornamento pi¨ corposo riguarda IE, dove Microsoft ha corretto dieci vulnerabilitÓ scoperte di recente.

Descritte nel bollettino MS06-013, le patch per IE sono quasi tutte classificate con il massimo grado di pericolositÓ: ci˛ significa che nel caso in cui un utente sia autenticato con privilegi di amministrazione, un aggressore potrebbe sfruttare le falle da remoto per assumere il completo controllo del sistema. Un tipico attacco, valido per tutte le debolezze, Ŕ quello in cui l'aggressore induce un utente a visitare un certo sito web che, una volta aperto, esegue del codice che innesca la vulnerabilitÓ.

I problemi di IE appena corretti da Microsoft, che a seconda dei casi interessano IE5 e/o IE6, comprendono anche la nota vulnerabilitÓ createTextRange() scoperta verso la fine di marzo e subito presa di mira da centinaia di siti contenenti exploit pi¨ o meno dannosi. Per fortuna, a dispetto delle previsioni di alcuni esperti di sicurezza, al momento non esiste alcun worm che ne tragga vantaggio. Nelle scorse settimane sono state rilasciate almeno un paio patch non ufficiali: tra queste c'Ŕ quella sviluppata da eEye Digital Security, che l'azienda afferma sia stata fino ad oggi scaricata oltre 150.000 volte.
Microsoft ha sempre suggerito agli utenti di non installare patch di sicurezza sviluppate da terze parti, ma secondo un recente sondaggio sembra che il 98% degli amministratori di sistema guardi con favore a questi workaround non ufficiali, specie se il problema che risolvono Ŕ particolarmente urgente.

Il bollettino MS06-014 riguarda un'altra nota vulnerabilitÓ critica, questa volta relativa a Windows, a cui Punto Informatico aveva dedicato un approfondimento lo scorso febbraio. Si tratta di un bug che risiede nel controllo ActiveX RDS.Dataspace fornito come parte di ActiveX Data Objects (ADO) e distribuito in MDAC (Microsoft Data Access Components), una serie di componenti utilizzati da Windows per l'accesso ai database. La vulnerabilitÓ Ŕ stata giudicata critica in tutte le versioni di Windows tranne che in Server 2003, dove il pericolo sarebbe solo "moderato".

Tra le societÓ che hanno collaborato con Microsoft allo sviluppo della patch per MDAC c'Ŕ l'italiana Yarix, la stessa che a febbraio aveva fornito a PI i primi dettagli sulla vulnerabilitÓ.

"Si Ŕ scoperto che questa grave debolezza pu˛ consentire la scrittura di file e la modifica del registro di sistema all'insaputa dell'utente", ha affermato Stefano Meller, amministratore delegato di Yarix.

"La vulnerabilitÓ in MDAC rappresenta un problema grave", ha fatto eco Monty Ijzerman, senior manager del Global Threat Group di McAfee AVERT Labs. "Pu˛ essere sfruttata con una minima attivitÓ di social engineering, senza richiedere alcuna interazione da parte dell'utente se non la visita di un sito web malevolo".

Di seguito gli altri aggiornamenti di sicurezza.
TAG: microsoft
50 Commenti alla Notizia Internet Explorer, tempo di megapatch
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)