MS incerotta Windows, Office e IE

I bollettini di sicurezza stuccano falle in diversi software, inclusi Windows, Office e Internet Explorer: alcune vulnerabilitÓ sono piuttosto pericolose. Risolto anche il bug del calcolo di Excel

Redmond (USA) - I bollettini di sicurezza di ottobre pubblicati da Microsoft sono in totale sei, di cui quattro "critici", e correggono nove differenti vulnerabilità. In origine BigM aveva annunciato il rilascio di sette bollettini, ma come spiegato in questo post uno è stato posticipato perché la relativa patch "non soddisfaceva i criteri di qualità".

Il primo bollettino critico, l'MS07-055, riguarda Kodak Image Viewer, un visualizzatore d'immagini incluso in Windows 98/Me e 2000. Sebbene in Windows XP e in Windows Server 2003 tale programma sia stato rimpiazzato da Visualizzatore immagini e fax, che non risulta vulnerabile, il componente è ancora presente nei sistemi in cui XP e 2003 sono stati installati come aggiornamento a Windows 2000. Un cracker potrebbe sfruttare il bug creando un file d'immagine malformato che, una volta aperto con Kodak Image Viewer, causa il crash del programma e l'esecuzione di codice dannoso.

Il bollettino MS07-056 descrive una vulnerabilità critica in Outlook Express 5.5 e 6 che si è propagata anche nel giovane client di posta elettronica Windows Mail di Windows Vista: in quest'ultimo sistema operativo la gravità della falla è però considerata "importante". Microsoft spiega che la debolezza "potrebbe consentire l'esecuzione di codice in modalità remota dovuta a una risposta NNTP non valida gestita in modo errato". Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web che, quando visitata da un utente, esegue del codice con gli stessi privilegi di quest'ultimo.
C'è poi un aggiornamento cumulativo per Internet Explorer, contemplato nel bollettino MS07-057, che risolve quattro falle e diversi bug non relativi alla sicurezza. SANS Institute afferma che alcune di queste vulnerabilità sono note fin da febbraio, e la più grave di queste potrebbe essere utilizzata per corrompere la memoria del browser ed eseguire del codice dannoso contenuto all'interno di una pagina web maligna. I problemi interessano IE 5.5, 6 e 7.

L'ultimo bollettino critico, l'MS07-060, contiene una patch che corregge un bug di sicurezza in Word 2000/XP e Word 2004 per Mac. La falla è considerata della massima pericolosità solo in Office 2000, mentre è stata classificata come "importante" nelle altre due edizioni della celebre suite per l'ufficio. Per sfruttare il problema di sicurezza un malintenzionato può creare un file di Word contenente una stringa non valida: una volta aperto, tale file causa il crash di Word e l'esecuzione di codice nocivo. SANS avvisa che in rete circolano già alcuni exploit per questa debolezza, sebbene fino ad oggi gli attacchi siano stati molto circoscritti.

I due bollettini classificati come "importanti", l'MS07-058 e l'MS07-059 riguardano rispettivamente una vulnerabilità nel componente RPC (Remote Procedure Call) di Windows 2000, XP, Server 2003 e Vista che potrebbe essere sfruttato per portare attacchi di denial of service, ed una vulnerabilità in Windows SharePoint Services 3.0 e Office SharePoint Server 2007 sfruttabile da un aggressore per eseguire script non autorizzati e acquisire privilegi più elevati. Stando a SANS, un exploit per questa falla circola fin dallo scorso maggio.

"Le patch annunciate ieri da Microsoft evidenziano l'esigenza di una protezione proattiva per il browser e il rischio di navigare sul web senza protezione", ha affermato Dave Marcus, security research e communications manager di McAfee Avert Labs. "Molte delle vulnerabilità annunciate potrebbero essere sfruttate semplicemente se un utente clicca su un link web malevolo, uno dei metodi d'attacco preferiti da criminali online. Gli utenti devono essere più cauti che mai quando navigano su Internet".

Un sommario dei bollettini di ottobre è disponibile in questa pagina del sito di Microsoft Italia.

Microsoft ha anche aggiornato il bollettino MS05-004, relativo ad una debolezza di ASP.NET risalente all'inizio del 2005, aggiungendo alle piattaforme vulnerabili anche Windows Server 2003 Service Pack 2 e Vista.

Negli scorsi giorni il big di Redmond ha inoltre pubblicato, per la verità piuttosto in sordina, una patch per il bug "matematico" di Excel 2007. La patch può essere scaricata dai link forniti dal team di sviluppo di Excel in questo post, e sarà inclusa anche nel primo service pack per Office 2007.
15 Commenti alla Notizia MS incerotta Windows, Office e IE
Ordina
  • Piuttosto che parlare a vanvera è meglio che passi più tempo a incerottare A bocca aperta

    a Redmond non arrivano i bollettini meteo ma quelli di sicurezza!! A bocca aperta
    non+autenticato
  • - Scritto da: billygatto
    > Piuttosto che parlare a vanvera è meglio che
    > passi più tempo a incerottare
    >A bocca aperta
    >
    > a Redmond non arrivano i bollettini meteo ma
    > quelli di sicurezza!!
    >A bocca aperta

    Ecco quel che si dice parlare a vanvera
    non+autenticato
  • Quoto.
    non+autenticato
  • "I bollettini di sicurezza di ottobre pubblicati da Microsoft sono in totale sei, di cui quattro "critici", e correggono nove differenti vulnerabilità."

    Questo è un fatto, tutto il resto è fuffa!! Windows è il sistema più vulnerabile della storia.
    non+autenticato
  • E questo sulla base di statistiche che sicuramente hai e che ci fornirai quanto prima. O no?
  • Scherzi o parli seriamente??
    http://www.microsoft.com/technet/security/current....

    Considera che ogni bollettino ha ben più che una vulnerabilità......
    non+autenticato
  • Ah.... e se provi a mettere come filtro di ricerca solo critical i bollettini sono 438.....
    non+autenticato
  • ..parlare a vanvera è quello che fa ballmer.. almeno a me non mi pagano!
    non+autenticato
  • contenuto non disponibile
  • Bhe, ovviamente Steve Ballmer.....anche perché finchè ci sono dei furboni che gli danno soldi per comprare bollettini di sicurezza......
    non+autenticato