Una megapatch sistema le falle di Word

MS corregge una ventina di vulnerabilità in Windows, Office e IE, alcune già sfruttate dai cracker. BigM ha rilasciato anche un nuovo extra per Vista Ultimate e un SDK per sistemi embedded

Redmond (USA) - Con i bollettini di sicurezza di febbraio, pubblicati come di consueto il secondo martedì del mese, Microsoft ha messo una pezza a tutte le falle zero-day di Office che sono state scoperte negli ultimi mesi. Oltre a queste, BigM ha corretto un'altra dozzina di vulnerabilità in Windows, Internet Explorer e MDAC (Microsoft Data Access Components).

Dei bug di Office, quasi tutti valutati della massima pericolosità, sei riguardano Word, uno PowerPoint ed un altro Excel. Alcune di queste vulnerabilità sono state sfruttate dai cracker prima ancora che il problema divenisse di pubblico dominio, e generalmente consentono ad un malintenzionato di eseguire del codice celato all'interno di un documento maligno.

"Oggi Microsoft ha rilasciato patch per sei vulnerabilità utilizzate in recenti attacchi zero-day mirati", ha affermato Dave Marcus, security research and communications manager di McAfee Avert Labs. "Questo continua a essere il trend seguito dagli autori di malware, che preferiscono colpire applicazioni e servizi di business Microsoft ampiamente diffusi. Gli autori di malware continuano a trovare vulnerabilità sconosciute o per cui non è disponibile una patch in applicazioni e servizi molto diffusi per poi utilizzarli in attacchi zero-day, mettendo a rischio sia le aziende che i singoli consumatori".
Va evidenziato come Microsoft abbia classificato tutte le debolezze di Office di livello "critico" in Office 2000 e di livello "importante" in Office 2002/2003/2004. Office 2007 non è invece interessato da alcuno di questi problemi.

Microsoft ha poi rilasciato un aggiornamento cumulativo per Internet Explorer 5.01 e 6.0 che risolve tre nuove falle di sicurezza, di cui due interessano anche IE7.

Gli altri bollettini "critici" riguardano vulnerabilità nel controllo ActiveX della Guida HTML di Windows, in un ActiveX di MDAC, e nel modulo Microsoft Malware Protection Engine di Windows Live OneCare, MS Antigen, Windows Defender e MS Forefron Securiy.

I sei bollettini classificati come "importanti" risolvono invece problemi di sicurezza nello Step-by-Step Interactive Training di Windows 2000/XP/2003, nella shell di Windows XP/2003, nel servizio acquisizione immagini di Windows XP SP2, nella finestra di dialogo OLE di Windows 2000/XP/2003, nella Microsoft Foundataion Class (MFC) integrata in Windows e Visual Studio.NET 2002/2003, e nel componente MS RichEdit integrato in Windows, Office e diversi altri prodotti elencati nel bollettino MS07-013.

Da sottolineare come nessuno dei problemi succitati colpisca Windows Vista. Ciò non significa, come fanno notare alcuni esperti, che Vista non contenga alcuno dei bug presenti in XP e 2003: semplicemente, i nuovi meccanismi di protezione implementati da Microsoft impediscono ai cracker di sfruttare queste vulnerabilità per eseguire del codice o mandare in crash il sistema.

Un riepilogo in lingua italiana dei bollettini di febbraio si trova qui, mentre una tabella riassuntiva delle patch e dei relativi gradi di rischio è stata pubblicata qui da SANS Institute.

Da segnalare come all'inizio della settimana un hacker di nome Joanna Rutkowska ha annunciato la scoperta di "una gravissima debolezza" nel meccanismo di protezione User Account Control (UAC) di Windows Vista. Secondo quanto riportato in questo post, l'UAC parte dal presupposto che tutti i programmi di setup delle applicazioni, ovvero gli installer, debbano girare obbligatoriamente con i privilegi di amministrazione. Questo, secondo Rutkowska, significa che anche l'installer di un piccolo giochino freeware può caricare driver a livello del kernel. Microsoft ha confermato che il rischio esiste, ma che si tratta d una precisa scelta di progetto per "bilanciare la sicurezza con la facilità d'uso".
13 Commenti alla Notizia Una megapatch sistema le falle di Word
Ordina