Microsoft sgancia 31 patch

Pubblicati 10 bollettini di sicurezza che risolvono complessivamente oltre una trentina di vulnerabilitÓ, molte delle quali classificate con il massimo grado di pericolositÓ

Roma - Dopo la "pausa" di maggio, mese in cui Microsoft ha pubblicato un solo bollettino di sicurezza, il security team di BigM è tornato a macinare patch a pieno regime. Nella tarda serata di martedì, puntuale con il suo ciclo mensile di rilascio dei fix di sicurezza, la mamma di Windows ha pubblicato dieci bollettini che correggono, nel complesso, un numero record di 31 vulnerabilità.

Dei dieci bollettini, sei sono classificati con un grado di rischio critico, tre importante e uno moderato. Le applicazioni e i componenti interessati da questa tornata di patch sono Active Directory (2), Internet Explorer (8), Internet Information Services (2), Office Excel (7), Office Word (2), il pooler di stampa di Windows (3), Windows Search (1), il kernel di Windows (4) e Windows RPC (1). In quasi tutti i casi c'è almeno una vulnerabilità con exploitabily index pari a 1, ossia con elevata probabilità che possa essere sfruttata da cracker o malware.

"Oltre ad essere uno dei Patch Tuesday più corposi, è anche uno dei più estesi. Le patch di Microsoft coprono molte delle tecnologie dell'azienda, comprese varie versioni di Windows ed anche Office per Mac" ha dichiarato Dave Marcus, direttore della ricerca di sicurezza e della comunicazione dei McAfee Avert Labs. "Gli aggiornamenti dei sistemi con la correzione delle saranno patch particolarmente impegnative per le aziende, che avranno bisogno di appoggiarsi a una robusta strategia di risk management per valutare quali aggiornamenti effettuare e in quale priorità per respingere potenziali attacchi".
Tra i bollettini più "caldi" c'è quello MS09-019 relativo a IE, che fornisce una patch cumulativa applicabile a tutte le versioni del browser di Windows, inclusa la recente 8.0.

Tra le vulnerabilità corrette in IIS c'è anche quella relativa all'estensione WebDAV di cui si era dato notizia lo scorso mese. Seppure non sia classificata con il massimo grado di rischio, questa debolezza è già stata bersaglio dei cracker.

Le vulnerabilità più serie di Word, Excel e Works, trattate rispettivamente nei bollettini MS09-027, MS09-021 e MS09-024, potrebbero essere sfruttate da un malintenzionato per creare documenti che, una volta aperti, causano l'esecuzione di codice maligno con gli stessi privilegi dell'utente locale.

"Sfruttando una di queste vulnerabilità, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi", si legge nei bollettini relativi a Office e Works.

I tre bollettini "importanti", relativi a RPC, kernel di Windows e IIS, possono invece consentire ad un utente di acquisire privilegi più elevati di quelli a lui assegnati. Nel caso peggiore, un malintenzionato potrebbe arrivare a prendere il pieno controllo di un sistema remoto.

Le vulnerabilità più pericolose per i server sono quelle descritte nel bollettino MS09-018, e relative Active Directory: tali bug possono essere sfruttati per eseguire codice a distanza o per lanciare attacchi di denial of service. Il problema interessa Windows 2000 e 2003 e i sistemi XP sui cui sia installato Active Directory Application Mode.

Potenzialmente serie anche le debolezze associate al pooler di stampa di Windows, soprattutto per i Windows 2000, dove la falla è classificata come "critica", e Vista/2008, dove il livello di gravità è "importante". In XP e 2003 il rischio è invece "moderato".

Insieme ai nuovi bollettini di sicurezza, nella tarda serata di martedì Microsoft ha pubblicato anche due nuovi advisory: uno relativo ad un aggiornamento Rollup per gli ActiveX Kill Bits, e unoa un update per il DNS devolution dei propri server.

Di seguito alcune risorse di approfondimento:
- riepilogo ufficiale dei bollettini di giugno;
- post di Feliciano Intini, chief security advisor di Microsoft Italia, in cui si trova una tabella sinottica delle vulnerabilità e diversi link a risorse di approfondimento;
- post del Microsoft Security Response Center;
- tabella del SANS Internet Storm Center in cui viene fornita una classificazione delle falle alternativa a quella di Microsoft e suddivisa per sistemi client e server.
50 Commenti alla Notizia Microsoft sgancia 31 patch
Ordina
  • Ma vorrei sapere quanti di voi trollz window hanno una copia registrata... se tutti coloro che si lamentano del software libero dovessero obbligatoriamente pagare i software del prorpio pc cambierebbero rotta all'instante. E non parlo da sfegatato utilizzatore di linux o altro... anzi, ed è anche vergognoso vedere una società come microsoft vendere software che hanno bug o problemi che dovrebbero già soprire autonomamente... almeno apple si impegna molto di più sul proprio prodotto
    non+autenticato
  • - Scritto da: Provocatori us
    > Ma vorrei sapere quanti di voi trollz window
    > hanno una copia registrata...

    Solo quelli che hanno un portatile con vista preinstallato.

    > se tutti coloro che
    > si lamentano del software libero dovessero
    > obbligatoriamente pagare i software del prorpio
    > pc cambierebbero rotta all'instante.

    Gli basterebbe solo che nel cartellino del prezzo scorporassero il costo del SO da quello della ferraglia.

    > E non parlo
    > da sfegatato utilizzatore di linux o altro...
    > anzi, ed è anche vergognoso vedere una società
    > come microsoft vendere software che hanno bug

    Precisiamo: vendere bug che sembrano software.

    > o problemi che dovrebbero già soprire
    > autonomamente... almeno apple si impegna molto di
    > più sul proprio
    > prodotto

    Apple ha una reputazione.

    Anche M$ ha una reputazione... ma diversa!
  • di 10... poi che correggono 31 errori.. è un altro discorso.. allora quando esce una nuova versione di linux che ha un elenco di correzioni enorme o lo stesso openoffice che ha spesso 200-300 correzioni.. cosa bisogna dire? come al solito il giornalismo in italia, fa spettacolo e non informazione...
    non+autenticato
  • Veramente no.

    Le vulnerabilità (non gli errori) sono 31, le relative patch sono contenute in 10 bollettini. Se anche le avessero corrette tutte con un unico file di aggiornamento sarebbero rimaste comunque 31.
    -----------------------------------------------------------
    Modificato dall' autore il 11 giugno 2009 09.46
    -----------------------------------------------------------
  • - Scritto da: flavio santini
    > di 10... poi che correggono 31 errori.. è un
    > altro discorso.. allora quando esce una nuova

    Nope. patch -> toppa
    31 buchi, 31 toppe
    che a metterle siano 10 sartine o meno, e' solo questione di quali siano gli abiti coi buchi e quale il tipo di buco.

    > solito il giornalismo in italia, fa spettacolo e
    > non
    > informazione...

    Come al solito la professionalita' e' opzionale...

    CYA
    non+autenticato
  • - Scritto da: flavio santini
    > di 10... poi che correggono 31 errori.. è un
    > altro discorso.. allora quando esce una nuova
    > versione di linux che ha un elenco di correzioni
    > enorme o lo stesso openoffice che ha spesso
    > 200-300 correzioni.. cosa bisogna dire? come al

    Windows = sistema operativo
    linux = sistema operativo
    openoffice = applicativo
    sistema operativo != applicativo
    Non mischiare pere e peperoni.

    > solito il giornalismo in italia, fa spettacolo e
    > non informazione...
    beh, se leggi PI, non ti lamentare.....
    non+autenticato
  • - Scritto da: flavio santini
    > come al
    > solito il giornalismo in italia, fa spettacolo e
    > non
    > informazione...

    In questo caso (PI) in genere agevola flames e quindi contatti sul sito e quindi pubblicita'.

    Comunque, per essere precisi, la mia console WSUS dice quanto di seguito:

    Release date 09/06/2009
    71 Security Updates
    3 Critical Updates
    e pochi Update ed Update Rollup.

    Dei 71 Security Updates

    _25 sono Cumulative Security Updates per tutte le versioni di Internet Explore (dalla 5.01 allaFicoso per tutte le piattaforme possibili tra Windows 2000 a 2003 Server (x64 ed Itanium incluse).
    _14 sono Security Updates vari ed assortiti per tutte le versioni di Office da 2002 a 2007
    Il resto sono Security updates per tutte le versioni di Windows da 200o a 2003 Server per tutte le piattaforma (incluse x64 ed Itanium)
  • Sono d'accordo..sul fatto che non si parrli mai delle patch degli altri, ma solo di quele di MS.
    non+autenticato
  • - Scritto da: Filippo B
    > Sono d'accordo..sul fatto che non si parrli mai
    > delle patch degli altri, ma solo di quele di
    > MS.

    Perchè non esiste altro all'infuori di Ms. Sorride
    non+autenticato
  • occorre però precisare in questo patch day ci sono state molte meno falle in Vista rispetto a XP ==> altra ragione per passare a Vista!
    non+autenticato
  • - Scritto da: penzium
    > occorre però precisare in questo patch day ci
    > sono state molte meno falle in Vista rispetto a
    > XP ==> altra ragione per passare a
    > Vista!
    Perchè cercano di spennare qualche altro pollo (gli ultimi)con vista, poi quando arriverà win7 allora pioveranno patch anche su vista, mentre win7 sarà supersicuro.
    non+autenticato
  • - Scritto da: Monsieur Duball
    > Perchè cercano di spennare qualche altro pollo
    > (gli ultimi)con vista, poi quando arriverà win7
    > allora pioveranno patch anche su vista, mentre
    > win7 sarà
    > supersicuro.

    Win7 è sempre basato su Vista, ha la stessa identica architettura di sicurezza quindi le patch saranno le stesse. Diverso invece è XP che proviene da una vecchia generazione di OS
    non+autenticato
  • - Scritto da: penzium

    > Win7 è sempre basato su Vista, ha la stessa
    > identica architettura di sicurezza quindi le
    > patch saranno le stesse. Diverso invece è XP che
    > proviene da una vecchia generazione di
    > OS

    Win7 e' talmente rinnovato come archiettura, e talmente riscritto a basso livello che se tu selezioni un file, premi F2 per provare a rinominarlo e come nome provi a scriverci AUX non ci riesci.
  • - Scritto da: panda rossa
    > - Scritto da: penzium
    >
    > > Win7 è sempre basato su Vista, ha la stessa
    > > identica architettura di sicurezza quindi le
    > > patch saranno le stesse. Diverso invece è XP che
    > > proviene da una vecchia generazione di
    > > OS
    >
    > Win7 e' talmente rinnovato come archiettura, e
    > talmente riscritto a basso livello che se tu
    > selezioni un file, premi F2 per provare a
    > rinominarlo e come nome provi a scriverci AUX non
    > ci
    > riesci.
    Secondo me tu la notte non ci dormi sul fatto che non puoi creare una cartella che si chiama AUX...ma le sai lelettere dell'alfabeto? sono piu' di tre.
  • - Scritto da: vistabuntu.wordpress.com
    > Secondo me tu la notte non ci dormi sul fatto che
    > non puoi creare una cartella che si chiama
    > AUX...ma le sai lelettere dell'alfabeto? sono
    > piu' di
    > tre.

    E invece secondo me tu devi avere un naso estremamente corto oltre a non essere in grado di vederci oltre.

    L'impossibilita' di assegnare un semplce nome di file o di cartella per mantenere una inutile retrocompatibilita', e' innanzitutto sintomo che sotto sotto non e' cambiato niente dal lontano 1984, ed inoltre introduce potenziali problemi legati allo scambio di files tra piattaforme, o per esempio, alla creazione di utenti.

    Prova a creare un utente aux sul tuo bellissimo vistaseven e poi sappimi dire se esce un popup di errore o se si inchioda di brutto e basta.
  • > L'impossibilita' di assegnare un semplce nome di
    > file o di cartella per mantenere una inutile
    > retrocompatibilita', e' innanzitutto sintomo che
    > sotto sotto non e' cambiato niente dal lontano
    > 1984, ed inoltre introduce potenziali problemi
    > legati allo scambio di files tra piattaforme, o
    > per esempio, alla creazione di
    > utenti.
    >
    > Prova a creare un utente aux sul tuo bellissimo
    > vistaseven e poi sappimi dire se esce un popup di
    > errore o se si inchioda di brutto e
    > basta.
    Non so se ridere. Comunque i tuoi interventi sono sempre i peggiori. Come si fa a portare avanti questo grave problema dal 1984.... è dal 1990 che Linux è a disposizione della gente gratuitamente, è un ingiustizia che non supera l'1%.... questa gente che non usa cartelle aux..... che campa a fa!
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: vistabuntu.wordpress.com
    > > Secondo me tu la notte non ci dormi sul fatto
    > che
    > > non puoi creare una cartella che si chiama
    > > AUX...ma le sai lelettere dell'alfabeto? sono
    > > piu' di
    > > tre.
    >
    > E invece secondo me tu devi avere un naso
    > estremamente corto oltre a non essere in grado di
    > vederci
    > oltre.
    >
    > L'impossibilita' di assegnare un semplce nome di
    > file o di cartella per mantenere una inutile
    > retrocompatibilita', e' innanzitutto sintomo che
    > sotto sotto non e' cambiato niente dal lontano
    > 1984, ed inoltre introduce potenziali problemi
    > legati allo scambio di files tra piattaforme, o
    > per esempio, alla creazione di
    > utenti.
    >
    > Prova a creare un utente aux sul tuo bellissimo
    > vistaseven e poi sappimi dire se esce un popup di
    > errore o se si inchioda di brutto e
    > basta.
    Ti sei dimenticato dell'epic fail di quando un utente ti disse come creare un file AUX? dai torna a giocare col lego.
  • - Scritto da: vistabuntu.wordpress.com
    > Ti sei dimenticato dell'epic fail di quando un
    > utente ti disse come creare un file AUX? dai
    > torna a giocare col
    > lego.

    Io non mi sono dimenticato.
    Ho preso buona nota e risolto un mio problema.
    Ma, di fatto, la soluzione prevede di utilizzare uno strumento orripilante per chi ritiene che l'unico modo per interfacciarsi con il sistema operativo sia il mouse: la shell dei comandi!

    Quindi, io che windows non lo uso, so come fare.
    Quelli che invece lo usano no!

    E' molto piu' facile scrivere
    $ sudo apt-get install qualcosa
    che creare un file aux su windows, non solo, ma io apt-get posso farlo anche col mouse, volendo, mentre per creare i files aux su windows, non c'e' alternativa alla riga di comando.

    La questione non e' affatto finita.
  • - Scritto da: panda rossa
    > - Scritto da: vistabuntu.wordpress.com
    > > Ti sei dimenticato dell'epic fail di quando un
    > > utente ti disse come creare un file AUX? dai
    > > torna a giocare col
    > > lego.
    >
    > Io non mi sono dimenticato.
    > Ho preso buona nota e risolto un mio problema.
    > Ma, di fatto, la soluzione prevede di utilizzare
    > uno strumento orripilante per chi ritiene che
    > l'unico modo per interfacciarsi con il sistema
    > operativo sia il mouse: la shell dei
    > comandi!
    >
    > Quindi, io che windows non lo uso, so come fare.
    > Quelli che invece lo usano no!
    >
    > E' molto piu' facile scrivere
    > $ sudo apt-get install qualcosa
    > che creare un file aux su windows, non solo, ma
    > io apt-get posso farlo anche col mouse, volendo,
    > mentre per creare i files aux su windows, non
    > c'e' alternativa alla riga di
    > comando.
    >
    > La questione non e' affatto finita.
    Tu windows non lo usi e ne hai preso nota? ma ancora non capisci quanto ti stai coprendo di ridicolo? critichi windows per creare un file AUX col terminale (e chi al giorno d'oggi non ha NECESSITA' ASSOLUTA di creare files e cartelle chiamati AUX), quando una installazione di un software su linux che non sia in repository e' quanto di piu' oscuro la mente umana possa concepire? ripeto, gioca coi lego, che ci fai piu' figura.
  • - Scritto da: vistabuntu.wordpress.com
    > Tu windows non lo usi e ne hai preso nota?

    Io windows a volte lo uso, purtroppo per me.
    Lavorare con l'informatica e' come fare l'idraulico.
    A volte hai il piacere di installare rubinetterie in bagni lussuosi, altre volte invece devi infilare le mani nella tazza per sturare il cesso.

    E l'utilizzo di windows corrisponde alla seconda parte della metafora.

    > ancora non capisci quanto ti stai coprendo di
    > ridicolo?

    Io mi copro di ridicolo perche' windows non e' in grado di creare un file di 3 lettere con mezzi normali?

    > critichi windows per creare un file AUX
    > col terminale (e chi al giorno d'oggi non ha
    > NECESSITA' ASSOLUTA di creare files e cartelle
    > chiamati AUX),

    Evidentemente tu i computer non li usi, se non arrivi a capire.

    > quando una installazione di un
    > software su linux che non sia in repository e'
    > quanto di piu' oscuro la mente umana possa
    > concepire?

    Perche' devi volere installare qualcosa che non sta in repository?
    La roba in repository e' sicura e certificata.
    Quello che non e' in repository ti compili i sorgenti dopo averli verificati.
    Altrimenti sei solo in cerca di rogne.

    > ripeto, gioca coi lego, che ci fai
    > piu' figura.

    So fare anche quello, non preoccuparti.
  • Nessuno è in grado di patchare un numero così alto di vulnerabilità.
    non+autenticato
  • 31 pach? A me sembrano un po tante, nessuna ragione d'esserne orgogliosi.
    non+autenticato
  • - Scritto da: Dovella
    > Nessuno è in grado di patchare un numero così
    > alto di
    > vulnerabilità.

    Ce ne sono tante da patchare perkè non pensano prima di fare le cose. E nel 50% dei casi i bachi vengono comunicate da aziende esterne.

    Ma forse il tuo PC è già bello che infetto, quindi non ti sei accorto che mentre scrivi questi commenti "inutili", ti hanno già spillato i dati della carta di credito, fatto un giretto nel tuo conto in banca e stanno spulciando le tue email alla ricerca di informazioni utili per spammare le persone nella tua rubricaOcchiolino
  • Certo che se fossi ballmerda mi cercherei un blogger piu intelligente... visto che pago...
    Va bhe che gli apprezzatori microsfot sono rinco... ma sto dovella e proprio ignorante forte
    non+autenticato
  • - Scritto da: Dovella
    > Nessuno è in grado di avere un numero così
    > alto di
    > vulnerabilità.

    Quoto
    Funz
    12995
  • nessuno e' in grado di produrre tante falle...
    non+autenticato
  • fammi capire quando patcha MS allora è grande, quando patchano Linux o Firefox allora fanno schifo, sono pieni di bug, ecc....

    non puoi interpretare le cose in modi diversi a seconda della situazione
  • - Scritto da: pabloski
    > fammi capire quando patcha MS allora è grande,
    > quando patchano Linux o Firefox allora fanno
    > schifo, sono pieni di bug,
    > ecc....
    >
    > non puoi interpretare le cose in modi diversi a
    > seconda della
    > situazione
    Fa come tutti qua... uno stà da una parte uno stà dall'altra...
    non+autenticato
  • - Scritto da: Steve Austin
    > - Scritto da: pabloski
    > > fammi capire quando patcha MS allora è grande,
    > > quando patchano Linux o Firefox allora fanno
    > > schifo, sono pieni di bug,
    > > ecc....
    > >
    > > non puoi interpretare le cose in modi diversi a
    > > seconda della
    > > situazione
    > Fa come tutti qua... uno stà da una parte uno stà
    > dall'altra...

    Soprattutto stà... Rotola dal ridere

    Ma com'è che i Winari accaniti sono tutti affetti da questa malattia, quella del non saper scrivere?
    non+autenticato
  • - Scritto da: rotfl

    > Ma com'è che i Winari accaniti sono tutti affetti
    > da questa malattia, quella del non saper
    > scrivere?

    Sara' per via del correttore ortografico preinstallato nel sistema... affidabile come tutto il resto.