Microsoft tappa dieci falle

Con i bollettini di sicurezza relativi al mese di giugno, BigM ha corretto una decina di vulnerabilità. Coinvolti, tra gli altri componenti di Windows, Bluetooth e DirectX. Ancora nessuna patch per la carpet bomb di Safari

Redmond (USA) - Puntuale con il suo tradizionale ciclo mensile di aggiornamenti per la sicurezza, Microsoft ha pubblicato sette bollettini relativi ad un totale di 10 vulnerabilità di sicurezza in Windows, Office, Internet Explorer e DirectX.

Le falle considerate da Microsoft di più seria entità, e classificate come "critiche", sono relative allo stack Bluetooth di Windows XP e Vista (MS08-030), ad Internet Explorer 5, 6 e 7, (MS08-031) e alla tecnologia DirectX 7, 8, 9 e 10 inclusa in tutte le versioni di Windows (MS08-033).

Il rischio comune a tutte queste debolezze è che un aggressore riesca ad approfittarne per eseguire del codice a distanza: nel caso di IE, l'innesco della falla potrebbe avvenire attraverso una pagina web appositamente creata; nel caso di DirectX, il codice maligno potrebbe essere incluso in un file multimediale. Più complesso l'eventuale exploit per la vulnerabilità relativa a Bluetooth, che richiede l'invio, da parte di un aggressore, di un elevato numero di richieste SDP (Service Discover Protocol) verso un PC con Bluetooth attivato e a distanza di rilevamento.
Altri tre bollettini sono classificati come "importanti", e riguardano vulnerabilità nel Windows Internet Name Service (WINS) di Windows 2000 Server e Windows Server 2003 (MS08-034), nel componente Active Directory di Windows 2000 Server, Windows XP Professional, Windows Server 2003 e Windows Server 2008 (MS08-035), e nel protocollo PGM (Pragmatic General Multicast) implementato in tutte le versioni ancora supportate di Windows, dalla XP alla 2008 (MS08-036. Nel primo caso, un utente malintenzionato locale potrebbe sfruttare il problema per elevare i propri privilegi, negli altri due casi un aggressore potrebbe lanciare attacchi di tipo denial of service volti a impedire al sistema interessato di rispondere alle richieste.

L'ultimo bollettino, l'MS08-032, descrive una falla di rischio moderato relativa all'API del motore di sintesi vocale incluso in tutte le versioni supportate di Windows. "La vulnerabilità - si spiega nel bollettino - può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer e ha attivato la funzionalità di riconoscimento vocale di Windows". Questo aggiornamento include inoltre un kill bit per il software prodotto da BackWeb.

Il riepilogo in italiano dei bollettini Microsoft di giugno è qui, mentre in questo post SANS Institute ha pubblicato una tabella riassuntiva che cataloga la gravità delle falle in base al tipo di sistema, client o server.

Microsoft non è riuscita ad inserire in questa tornata di aggiornamenti la promessa patch per la cosiddetta carpet bomb, un serio problema di sicurezza generato dall'interazione tra Safari e Windows.
54 Commenti alla Notizia Microsoft tappa dieci falle
Ordina
  • Uso in dual boot Ubuntu e Win Xp, e non capisco perchè Microsoft impiega anni o mesi a patchare falle, poi perchè le patch anche quelle gravi devono essere patchate il 2°martedi di ogni mese, su Ubuntu se c'è una falla viene corretta subito dopo averla scoperta, in genere in 24 ore le falle si risolvono sopratutto quelle gravi, perchè Microsoft lascia vulnerabili i propi sistemi, per così tanto tempo, a questo punto, Windows non lo collego più a internet, nemmeno per scaricare gli aggiornamenti, lo tolgo completamente.
    non+autenticato
  • - Scritto da: marcoo
    > Uso in dual boot Ubuntu e Win Xp, e non capisco
    > perchè Microsoft impiega anni o mesi a patchare
    > falle, poi perchè le patch anche quelle gravi
    > devono essere patchate il 2°martedi di ogni mese,
    > su Ubuntu se c'è una falla viene corretta subito
    > dopo averla scoperta, in genere in 24 ore le
    > falle si risolvono sopratutto quelle gravi,
    > perchè Microsoft lascia vulnerabili i propi
    > sistemi, per così tanto tempo, a questo punto,
    > Windows non lo collego più a internet, nemmeno
    > per scaricare gli aggiornamenti, lo tolgo
    > completamente.
    Ecco bravo, levalo e lascia solo ubuntu, cosi' impazzirai con i milioni di comandi dati da terminale, sarai sicuro ma pazzo, ma CMQ SICURO!
    non+autenticato
  • guarda che le gui le ha anche ubuntu, puoi già fare quasi tutto da interfaccia grafica, informati prima di dire cose esagerate!
    non+autenticato
  • - Scritto da: ma per favore..
    > guarda che le gui le ha anche ubuntu, puoi già
    > fare quasi tutto da interfaccia grafica,
    > informati prima di dire cose
    > esagerate!

    E dimmi, visto che non ho trovato il modo: come facico a editare esalvare xorg.conf da gui SENZA usare il temrinale in nessun passaggio?
    non+autenticato
  • - Scritto da: www.magiesv elate.medu saworks.it

    > Ecco bravo, levalo e lascia solo ubuntu, cosi'
    > impazzirai con i milioni di comandi dati da
    > terminale, sarai sicuro ma pazzo, ma CMQ
    > SICURO!


    LOOOL. CHe pena! Ancora con queste idee.....
    non+autenticato
  • > falle, poi perchè le patch anche quelle gravi
    > devono essere patchate il 2°martedi di ogni mese,

    Perchè si fa una cosa chiamata controllo qualità, quella cosa che su ubuntu ovviamente non fanno altrimenti quando il pacchettizzatore di debian ha commentato un paio di righe nel codice della libreria openssl se ne sarebbero accorti.

    > su Ubuntu se c'è una falla viene corretta subito
    > dopo averla scoperta, in genere in 24 ore le

    Questa è la palla che continuate a bervi voi.
    non+autenticato
  • - Scritto da: nome e cognome
    > > falle, poi perchè le patch anche quelle gravi
    > > devono essere patchate il 2°martedi di ogni
    > mese,
    >
    > Perchè si fa una cosa chiamata controllo qualità,
    > quella cosa che su ubuntu ovviamente non fanno
    > altrimenti quando il pacchettizzatore di debian
    > ha commentato un paio di righe nel codice della
    > libreria openssl se ne sarebbero accorti.

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Ragazzi venite a leggere nome e cognome....questa è da incorniciareeeeee!!!!

    "Perchè si fa una cosa chiamata controllo qualità,"

    Ma come si fa ad avere la faccia tosta di dire che in casa Microsoft si fa il controllo qualità....Microsoft che ha buttato fuori un OS un anno fa che è ancora praticamente in beta e che la maggior parte delle grosse aziende si rifiuta di usare!!

    Controllo qualità......

    AHAHAHAHAHAHAHAHAHHA

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • > Ma come si fa ad avere la faccia tosta di dire
    > che in casa Microsoft si fa il controllo
    > qualità....Microsoft che ha buttato fuori un OS
    > un anno fa che è ancora praticamente in beta e
    > che la maggior parte delle grosse aziende si
    > rifiuta di
    > usare!!

    Meno male che ci sei tu con queste perle... la maggior parte delle aziende si rifiuta di usarlo, che comica.

    > Controllo qualità......

    Hai rigenerato le tue chiavi private oggi?
    non+autenticato
  • - Scritto da: nome e cognome

    >
    > Meno male che ci sei tu con queste perle... la
    > maggior parte delle aziende si rifiuta di usarlo,
    > che comica.

    Quindi mi vuoi dire che quando vai in banca, in posta, in assicurazione tutti i client hanno su Vista??
    LOL
    Fatti un giro nel mondo reale.
    Alla stessa Microsoft a Redmond più della metà dei Pc ha su Xp...

    >
    > Hai rigenerato le tue chiavi private oggi?

    Non uso Debian.
    E tu? Aggiornato antivirus, antispyware, antimalware, hai deframmentato, hai fatto un pò di pulizia nel registro, hai aggiornato Windows?
    non+autenticato
  • > Quindi mi vuoi dire che quando vai in banca, in
    > posta, in assicurazione tutti i client hanno su
    > Vista??

    Io vedo che i consulenti di Oracle e IBM cominciano ad arrivare con i laptop con Vista, questo significa che le società che hanno un turnover dell'hardware più elevato stanno passando a Vista. Nessun'azienda cambia sistema operativo solo perchè ne esce uno nuovo. Si aspetta che finiscano i leasing delle macchine o che sia tempo di cambiare l'hardware.
    Ci vogliono quindi due / tre anni.

    > LOL
    > Fatti un giro nel mondo reale.
    > Alla stessa Microsoft a Redmond più della metà
    > dei Pc ha su
    > Xp...

    Ah ti hanno fatto entrare a controllare, ma mi stupirebbe se non fosse così.

    > Non uso Debian.
    > E tu? Aggiornato antivirus, antispyware,
    > antimalware, hai deframmentato, hai fatto un pò
    > di pulizia nel registro, hai aggiornato
    > Windows?

    Si ho fatto tutto in pochi secondi.
    non+autenticato
  • LOL. Sei spassoso, come racconti tu le balle non lo fa nessuno!

    "In pochi secondi....."

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Ci ha messo solo 5 mesi a risolvere 7 bug di cui 3 GRAVI e soggetti a esecuzione di codice da remoto!A bocca aperta
    Debian il bug sulla ssh l'ha risolto meno di un giorno!!!
    Nessuno è perfetto, ma la media dei tempi di M$ nella risoluzione dei bug è terrificante!!!Triste
    Se risolvessero i bug prima, anzi no, se scrivessero meglio il codice (!!!) ci sarebbero molti pc-zombie in meno su internet... e questo vorrebbe dire meno SPAM e più sicurezza!!
    -----------------------------------------------------------
    Modificato dall' autore il 12 giugno 2008 09.21
    -----------------------------------------------------------
  • mandiamo Castelli e Calderoli da Ballmer!
    MeX
    16902
  • - Scritto da: katun79
    > Ci ha messo solo 5 mesi a risolvere 7 bug di cui
    > 3 GRAVI e soggetti a esecuzione di codice da
    > remoto!
    >A bocca aperta
    > Debian il bug sulla ssh l'ha risolto meno di un
    > giorno!!!

    Ma lol. Proprio l'esempio giusto ... per scoprire che uno dei loro sviluppatori aveva commentato una riga fondamentale ci hanno messo due anni, per risolverlo 4 mesi: basta togliersi le fette di salame dagli occhi e leggere quando è stata messa candidate la vulnerabilità

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-...

    > Se risolvessero i bug prima, anzi no, se
    > scrivessero meglio il codice (!!!) ci sarebbero

    Detto da uno che ha appena elogiato debian che a causa di una riga commentata che ha reso vulnerabili migliaia di server per due anni e costretto gli operatori a rigenerare a mano tutte le chiavi fa parecchio ridere.

    > molti pc-zombie in meno su internet... e questo
    > vorrebbe dire meno SPAM e più
    > sicurezza!!

    Con meno debian in giro sicuramente.
    non+autenticato
  • Forse mi sbaglio, ma che io sappia il bug su Debian era sì presente da tempo, ma una volta scoperta la sua presenza è stato risolto in breve, mi sbaglio?Quid

    Se per questo anche i bug di Xp scoperti 2 mesi fa, sono presenti sul sistema da 7 anni, ma si inizia a contare il tempo di risolta da quando viene scoperta la presenza.
    non+autenticato
  • - Scritto da: Quid
    > Forse mi sbaglio, ma che io sappia il bug su
    > Debian era sì presente da tempo, ma una volta
    > scoperta la sua presenza è stato risolto in
    > breve, mi
    > sbaglio?Quid
    >
    > Se per questo anche i bug di Xp scoperti 2 mesi
    > fa, sono presenti sul sistema da 7 anni, ma si
    > inizia a contare il tempo di risolta da quando
    > viene scoperta la
    > presenza.

    Due considerazioni, questo bug è dovuto al pressapochismo e all'assoluta mancanza di controllo con cui si fanno le modifiche sulle distro linux.
    Altro discorso basta guardare CVE e notare che il bug è stato messo a candidate in gennaio, poi siccome i bug di sicurezza non vengono resi noti (tranne che nel caso di microsoft) fino a quando non è pronta la patch, ecco spiegato come mai ci mettono poco a risolverli.
    non+autenticato
  • - Scritto da: nome e cognome

    > Due considerazioni, questo bug è dovuto al
    > pressapochismo e all'assoluta mancanza di
    > controllo con cui si fanno le modifiche sulle
    > distro linux.

    Vabbè, questa verità assoluta che esprimi immagino sia comprovata da fatti e magari esperienze all'interno delle varie comunità; immagino invece che nella tua cara Microsoft gli errori avvengono per motivi soprannaturali che i tuoi cari, mai colpevoli, programmatori Microsoft non riescono a controllare....

    > Altro discorso basta guardare CVE e notare che il
    > bug è stato messo a candidate in gennaio, poi
    > siccome i bug di sicurezza non vengono resi noti
    > (tranne che nel caso di microsoft) fino a quando
    > non è pronta la patch, ecco spiegato come mai ci
    > mettono poco a
    > risolverli.

    Scusa ma dal link che hai postato più sopra, non riesco a trovare il riferimento a Gennaio: ti riferisci a quel link?
    non+autenticato
  • - Scritto da: Infatti
    > - Scritto da: nome e cognome
    >
    > > Due considerazioni, questo bug è dovuto al
    > > pressapochismo e all'assoluta mancanza di
    > > controllo con cui si fanno le modifiche sulle
    > > distro linux.
    >
    > Vabbè, questa verità assoluta che esprimi
    > immagino sia comprovata da fatti e magari
    > esperienze all'interno delle varie comunità;

    Comprovata dal fatto che una persona che non era lo sviluppatore ufficiale ma semplicemente un maintainer ha potuto inserire un bug gravissimo semplicemente commentando un paio di linee di codice. Questo bug si è propagato senza che nessuno notasse nulla in debian e tutte le distro derivate (ubuntu, kubuntu, damn small, ecc, ecc), in automatico su migliaia di macchine senza che nessuno se ne accorgesse... questo alla faccia di qualsiasi controllo, test, disponibilità dei sorgenti e così via.

    Oppure possiamo parlare di gentoo? Dove la versione "stable" 2007.0 NON compila perchè i pacchetti si bloccano a vicenda?

    > immagino invece che nella tua cara Microsoft gli
    > errori avvengono per motivi soprannaturali che i
    > tuoi cari, mai colpevoli, programmatori
    > Microsoft non riescono a
    > controllare....

    Di certo chi masterizza il cd non ha la possibilità di alterare il sorgente. Di certo chi mette i pacchetti in windows update non li può ricompilare. Di certo in microsoft tutto quello che viene distribuito su windows update passa il controllo qualità e dopo averlo passato il codice non cambia.

    >
    > > Altro discorso basta guardare CVE e notare che
    > il
    > > bug è stato messo a candidate in gennaio, poi
    > > siccome i bug di sicurezza non vengono resi noti
    > > (tranne che nel caso di microsoft) fino a quando
    > > non è pronta la patch, ecco spiegato come mai ci
    > > mettono poco a
    > > risolverli.
    >
    > Scusa ma dal link che hai postato più sopra, non
    > riesco a trovare il riferimento a Gennaio: ti
    > riferisci a quel
    > link?

    si basta andare in fondo e leggere:

    Candidate assigned on 20080109 and proposed on N/A.
    non+autenticato
  • LOL.

    Allora proprio non capisco perchè Windows è così pieno di bug se ha controllo qualità eccezionale come lo definisci tu.

    Io non nego che Linux non abbia bug/problemi, ma tu mi vieni a dire che alla Microsoft fanno un controllo qualità eccezionale e poi ogni mese saltano fuori decine di bug....
    non+autenticato
  • - Scritto da: Infatti
    > LOL.
    >
    > Allora proprio non capisco perchè Windows è così
    > pieno di bug se ha controllo qualità eccezionale
    > come lo definisci
    > tu.
    >
    > Io non nego che Linux non abbia bug/problemi, ma
    > tu mi vieni a dire che alla Microsoft fanno un
    > controllo qualità eccezionale e poi ogni mese
    > saltano fuori decine di
    > bug....

    E quindi? Decine di bug sono niente per un sistema complesso come windows. Per una distro linux escono migliaia di bug al mese e soprattutto escono bug tipo quello della libreria ssl (che non è certo una parte semisconosciuta del sistema la usano praticamente tutti), che è di una gravità inaudita. La dimostrazione che chiunque tra le centinaia di packager che si alternano potrebbe introdurre bug, e perchè no backdoor tanto non c'è alcun controllo a posteriori e il mondo se ne accorge dopo due anni.
    non+autenticato
  • E infatti Windows è il sistema più bacato della storia!

    Dai, adesso vienimi a dire perchè è il più diffuso, che mi faccio altre 4 risate.

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Infatti
    > E infatti Windows è il sistema più bacato della
    > storia!
    >
    > Dai, adesso vienimi a dire perchè è il più
    > diffuso, che mi faccio altre 4
    > risate.
    >
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Il sistema più bacato della storia è sicuramente linux... se vai a sommare tutti gli aggiornamenti che arrivano in un mese per una qualunque distro ottiene il numero totale di fix di windows xp.
    non+autenticato
  • "Il rischio comune a tutte queste debolezze è che un aggressore riesca ad approfittarne per eseguire del codice a distanza"

    Ma la descrizione ogni tanto la cambiano? a me sembra sempre uguale...
    La cosa positiva è che il bug sarà stato scoperto almeno 5-6 mesi fa... e la patch c'è solo ora!

    Certo... altrimenti gli antivirus non vendono se la patch esce subito!!
    non+autenticato
  • - Scritto da: Real_Enneci
    > Ma la descrizione ogni tanto la cambiano? a me
    > sembra sempre
    > uguale...
    Ma no, davvero.
    Secondo te un aggressore che vulnerabilità cerca?
    Una che permette di far fuoriuscire il lettore cd o una che permette di eseguire del codice malevolo?

    Tra l'altro che c'entrano bug e antivirus?
    Non è che l'antivirus tappa i bachi del sistema operativo.
    non+autenticato
  • - Scritto da: innominato
    > - Scritto da: Real_Enneci
    > > Ma la descrizione ogni tanto la cambiano? a me
    > > sembra sempre
    > > uguale...
    > Ma no, davvero.
    > Secondo te un aggressore che vulnerabilità cerca?
    > Una che permette di far fuoriuscire il lettore cd
    > o una che permette di eseguire del codice
    > malevolo?
    >
    > Tra l'altro che c'entrano bug e antivirus?
    > Non è che l'antivirus tappa i bachi del sistema
    > operativo.

    Certamente l'aggressore cercherà di eseguire del codice malevolo, ma ci sono mille modi di spiegare in modo circostanziato e differenziato quali siano questi effetti malevoli, questo almeno penso tu lo capisca.

    La grande maggioranza dei cosidetti Virus sfrutta dei Bug presenti nel sistema operativo per poter eseguire il suo "codice maligno". E la gran maggioranza degli Antivirus è in grado di riconoscere, bloccare ed eliminare le varie forme di codice malevolo catalogate nel suo DB, anche se non in esecuzuione. Ora dimmi tu se non ci vedi relazione...

    PS: esistono anche virus in grado di agire anche senza malformazioni di sistema: vedi ad esempio tutte le routines di controllo antiutenza per la difesa delle reliquie ovvero dei contenuti protetti: trattasi di codice malevolo che gira all'insaputa e contro la volontà dell'utente.
    Avete presente il RootKit della Sony? O alcune parti di Vista?
  • - Scritto da: Real_Enneci
    > La cosa positiva è che il bug sarà stato scoperto
    > almeno 5-6 mesi fa... e la patch c'è solo
    > ora!
    >
    > Certo... altrimenti gli antivirus non vendono se
    > la patch esce
    > subito!!


    E dimmi, madre natura è stata molto cattiva o ti sei solo messo nella coda dei cactus quando distribuivano i cervelli?
    non+autenticato
  • - Scritto da: Blackstorm
    > - Scritto da: Real_Enneci
    > > La cosa positiva è che il bug sarà stato
    > scoperto
    > > almeno 5-6 mesi fa... e la patch c'è solo
    > > ora!
    > >
    > > Certo... altrimenti gli antivirus non vendono se
    > > la patch esce
    > > subito!!
    >
    >
    > E dimmi, madre natura è stata molto cattiva o ti
    > sei solo messo nella coda dei cactus quando
    > distribuivano i
    > cervelli?


    Miiiiiiii.........
    Che risposta educata, pertinente, utile, costruttiva ...
  • La tua sarà anche utile e forse pertinente.. ma utile e costruttiva.. A bocca storta
    non+autenticato
  • - Scritto da: rockroll
    > - Scritto da: Blackstorm
    > > - Scritto da: Real_Enneci
    > > > La cosa positiva è che il bug sarà stato
    > > scoperto
    > > > almeno 5-6 mesi fa... e la patch c'è solo
    > > > ora!
    > > >
    > > > Certo... altrimenti gli antivirus non vendono
    > se
    > > > la patch esce
    > > > subito!!
    > >
    > >
    > > E dimmi, madre natura è stata molto cattiva o ti
    > > sei solo messo nella coda dei cactus quando
    > > distribuivano i
    > > cervelli?
    >
    >
    > Miiiiiiii.........
    > Che risposta educata, pertinente, utile,
    > costruttiva
    > ...



    Eh ma... a certa gente potete trombargli anche la moglie, ma non toccate Microzozz!!
    non+autenticato
  • Quoto completamente
    non+autenticato
  • - Scritto da: Real_Enneci
    > - Scritto da: rockroll
    > > - Scritto da: Blackstorm
    > > > - Scritto da: Real_Enneci
    >
    > Eh ma... a certa gente potete trombargli anche la
    > moglie, ma non toccate
    > Microzozz!!

    Cosa c'entra la microsoft ocn l'idiozia di dire che se una patch non esce subito è perchè gli antivirus sennò non vendono? Che relazione c'è? E' laffermazione che le patch vengono fornite dopo tempo per far guadagnare le case produttrici di antivirus che denota di per se una profonda ignoranza nonchè una assoluta incapacità di ragionamento.
    non+autenticato
  • - Scritto da: rockroll
    > - Scritto da: Blackstorm
    > > - Scritto da: Real_Enneci

    >
    > Miiiiiiii.........
    > Che risposta educata, pertinente, utile,
    > costruttiva
    > ...
    Eh, che ci vuoi fare. Mica posso dare risposte decenti a chi ha certi complessi.
    non+autenticato