Alessandro Del Rosso

Microsoft pronta a sganciare due patch di emergenza

Correggeranno un serio problema di sicurezza relativo ad un componente di Visual Studio. La portata della debolezza è apparentemente molto ampia, e potrebbe coinvolgere molte applicazioni

Roma - Come annunciato in questo recente advisory, nella serata di oggi Microsoft pubblicherà due bollettini straordinari di sicurezza: uno per risolvere un serio problema di sicurezza nella famiglia di prodotti Visual Studio, un altro per rafforzare le difese di Internet Explorer ed evitare che questo possa essere utilizzato come vettore di attacco per le succitate debolezze. Il bollettino relativo a IE comprende tuttavia anche patch non correlate a quelle di Visual Studio.

Nel momento in cui si scrive non si conoscono ancora i dettagli delle vulnerabilità, ma un portavoce di Microsoft ha riferito che il bug è contenuto in un componente di Windows (probabilmente una libreria dinamica) utilizzato in un ampio numero di applicazioni, sia Microsoft che di terze parti.

Accade assai di rado che Microsoft distribuisca delle patch di sicurezza al di fuori dal suo tradizionale ciclo mensile dei rilasci: quando lo fa si tratta generalmente di problemi che, oltre ad essere molto seri, rischiano di finire - o sono già finiti - nel mirino dei cracker.
"Vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all'ampiezza dell'impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile: è per questo che si richiama l'attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza", spiega in non si conoscono ancora i dettagli delle vulnerabilità, ma un portavoce di Microsoft questo post Feliciano Intini, chief security advisor di Microsoft Italia. "È importante sottolineare come i clienti che abbiano i sistemi perfettamente aggiornati con tutti gli aggiornamenti di sicurezza siano protetti rispetto agli attacchi noti relativi a queste vulnerabilità".

Intini ha poi ricordato come l'ultimo aggiornamento di sicurezza out-of-band (OOB), ossia al di fuori del tradizionale appuntamento del secondo martedì di ogni mese, risalga al 23 ottobre 2008: tale bollettino correggeva alcune falle che, di lì a poco, sarebbero state sfruttate dal famigerato worm Conficker per infettare milioni di sistemi in tutto il mondo.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaSicurezza, ActiveX ancora fonte di guaiMicrosoft ha appena corretto una recente vulnerabilità ActiveX ed è già costretta a rimettersi al lavoro per stuccare una seconda falla. Sempre relativa a un controllo ActiveX
  • SicurezzaIE inciampa su un ActiveX fallatoUna vulnerabilità zero-day contenuta in un controllo, componente di Windows, è già stata sfruttata. A rischio gli utenti di Windows XP. Microsoft ha pronte le prime contromisure
  • SicurezzaXP e DirectX, attenti a quei dueNelle versioni pre-Vista di Windows si nasconde una debolezza che potrebbe minacciare la sicurezza di molti utenti consumer, ed in particolare di coloro che riproducono video QuickTime
18 Commenti alla Notizia Microsoft pronta a sganciare due patch di emergenza
Ordina
  • "È importante sottolineare come i clienti che abbiano i sistemi perfettamente aggiornati con tutti gli aggiornamenti di sicurezza siano protetti rispetto agli attacchi noti relativi a queste vulnerabilità".

    Detto dal responsabile di sicurezza di M$ Italia e' molto grave: qualcuno potrebbe anche crederci. E' cosa arcinota e documentata che ci sono vulnerabilità vecchie di anni ancora non corrette.
    non+autenticato
  • e quel che è peggio è che ci sono vulnerabilità ( e relativi exploit ) non ancora note e vendute sul mercato nero a prezzi oltretutto concorrezionali

    con 450$ ti porti a casa Zeus e un exploit pack di circa 80 exploit tutti funzionanti
  • che versione di vs?
    non+autenticato
  • Te lo sapremo dire stasera Occhiolino

    - Scritto da: ssaaas
    > che versione di vs?
  • Beh dal link nell'articolo, relativo all'Advance Notification, sezione Bulletin Information, espandendo Affected Software e poi Microsoft Developer Tools and Software, si vedono citati:

    .NET 2003/2005/2008
    C++ 2005/2008 (relativamente al Redistributable Package)
    non+autenticato
  • ... nonostante secondo il marketing ogni versione sia tutta nuova, anche sotto il cofano, la stessa vulnerabilità affligge tutti i sistemi da Win2000 a XP fino a Vista e a 2008 Server e tutte le versioni di Internet Explorer, dalla arcaica 5.01(Deluso ) fino alla super-nuova-tutta-rifatta versione 8.

    Questo dice molto su "cosa" ci sia sotto le nuove interfacce, per non parlare del tempo (10 anni!) trascorso dall'introduzione alla scoperta ed al fix del bug responsabile.
  • - Scritto da: logicaMente
    > ... nonostante secondo il marketing ogni versione
    > sia tutta nuova, anche sotto il cofano, la stessa
    > vulnerabilità affligge tutti i sistemi da Win2000
    > a XP fino a Vista e a 2008 Server e tutte le
    > versioni di Internet Explorer, dalla arcaica
    > 5.01(Deluso ) fino alla super-nuova-tutta-rifatta
    > versione 8.

    E non escluderei che la stessa vulnerabilità affliggerà anche Win Seven, perché correggerlo quando c'è la patch già pronta? Sorride
    non+autenticato
  • Beh, se è rimasto lì non sfruttato per 10 anni vuol dire che tanto visibile ed intuibile non è...

    Piuttosto spero che dicano chiaramente quale componente è compromesso.
    Visti i sistemi impattati prende dentro tutto ciò che è stato sviluppato anche con VS6 (se non col 5) e colpisce una marea di applicativi.
    Vero che con la pacth va tutto a posto, ma la sicurezza che venga installata non c'è - vedi conficker...
  • - Scritto da: logicaMente
    > ... nonostante secondo il marketing ogni versione
    > sia tutta nuova, anche sotto il cofano, la stessa
    > vulnerabilità affligge tutti i sistemi

    non è vero perchè se ti vai a leggere i bollettini di sicurezza vedrai scritto che la falla esegue con gli stessi privilegi dell'utente correntemente loggato nel sistema, e su Vista tali privilegi sono di default limitati, quindi non è vero che affigge tutti i sistemi nella stessa maniera. Su Vista un eventuale exploit non può fare alcun danno al difuori della tua "home" (frase tipica che dicono sempre i linari, ma che si applica anche a Vista)
    non+autenticato
  • - Scritto da: slurpa
    > - Scritto da: logicaMente
    > > ... nonostante secondo il marketing ogni
    > versione
    > > sia tutta nuova, anche sotto il cofano, la
    > stessa
    > > vulnerabilità affligge tutti i sistemi
    >
    > non è vero

    Cosa è che "non è vero"? Che affligge tutti i sistemi?

    Ho letto i bollettini qua:
    http://www.microsoft.com/technet/security/bulletin...
    e vedo che la falla di explorer colpisce tutti i browser dalla 5.01 alla 8 e tutti i sistemi desktop da 2000 a Vista con livello "Critical" ovvero, secondo la definizione della stessa MS: "Una vulnerabilità che, se sfruttata, potrebbe portare alla propagazione di un worm Internet senza azioni da parte dell'utente." mentre per quanto riguarda gli ultimi due sistemi server "potrebbe compromettere la riservatezza, l'integrità o la disponibilità dei dati dell'utente o delle risorse di elaborazione"

    Da questo si ottiene che lo stesso identico pezzo di codice che risale almeno al 1999 , attivo, si trova ancora dentro a Vista, in una parte critica come quella legata al browser web. Alla faccia del "tutto nuovo".

    Se poi ti prendi il bollettino standard mensile:
    http://www.microsoft.com/technet/security/bulletin...
    vedi che molti altri componenti risultano bacati nello stesso modo nelle ultime n versioni del sistema operativo, dal 2000 pro al Vista 64 bit SP2... ma tanto Settete(TM) sarà "tutto nuovo"...

    Ah, e nella pagina del bollettino, la parola "privileges" non appare.
  • Forse perchè deve mantenere una compatibilità con il passato????

    Perchè se lo avesse stravolto, poi tutti si sarebbero lamentati?
    del resto, c'e' sempre qualcuno che si lamenta.. ma VOI avete mai prodotto, costruito o progettato qualcosa??????

    erra perfetto? ha funzionato la primo colpo??

    ma smetteela di stare davanti al vostro PC a scrivere cazzate.. che è la sola cosa che sapere mettere assieme!
    non+autenticato
  • - Scritto da: M M
    > Forse perchè deve mantenere una compatibilità con
    > il
    > passato????

    Giusto, altrimenti come farebbero i nuovi malware ad impestare i vecchi sistemi, e viceversa???

    > Perchè se lo avesse stravolto, poi tutti si
    > sarebbero
    > lamentati?

    Se avessero riscritto il codice per renderlo più veloce ed avessero tolto dei bug ci sarebbe qualcuno che si sarebbe lamentato?

    > del resto, c'e' sempre qualcuno che si lamenta..

    Tu, delle opinioni altrui..

    > ma VOI avete mai prodotto, costruito o progettato
    > qualcosa??????

    Ti ringrazio per avermi dato del voi. E, si, "qualcosa" è stato fatto ma, non temere, non ho bisogno di spammarlo sui forum...

    > erra perfetto? ha funzionato la primo colpo??

    qua non si parla di funzionare al primo colpo, si parla di roba che risale al secolo scorso e tuttora presente in componenti vitali dei SO di oggi, venduti come "nuovi" e fatti pagare per il grande lavoro di innovazione che dovrebbe esserci dietro...

    > ma smetteela di stare davanti al vostro PC a
    > scrivere cazzate.. che è la sola cosa che sapere
    > mettere
    > assieme!

    L'Italia è agli ultimi posti nella classifica OCSE per la comprensione di un testo scritto. Tu dimostri che la posizione è ben meritata.
  • - Scritto da: logicaMente
    > qua non si parla di funzionare al primo colpo, si
    > parla di roba che risale al secolo scorso e
    > tuttora presente in componenti vitali dei SO di
    > oggi, venduti come "nuovi" e fatti pagare per il
    > grande lavoro di innovazione che dovrebbe esserci
    > dietro...

    9 miliardi e mezzo... (!)
    Enok
    245
  • - Scritto da: Enok
    > - Scritto da: logicaMente
    > > qua non si parla di funzionare al primo colpo,
    > si
    > > parla di roba che risale al secolo scorso e
    > > tuttora presente in componenti vitali dei SO di
    > > oggi, venduti come "nuovi" e fatti pagare per il
    > > grande lavoro di innovazione che dovrebbe
    > esserci
    > > dietro...
    >
    > 9 miliardi e mezzo... (!)

    che vuoi, il toner delle fotocopiatrici costa un botto!Occhiolino
  • però un worm non necessariamente ha bisogno di privilegi di amministratore per funzionare

    può comunque trasmettere e ricevere via tcp

    e poi se si accoppia quella falla ad una che permette la scalata di privilegi sei fregato

    infine c'è il problema che l'utonto risponde sempre Si a Uac, il che rende il tutto più grave

    anche su linux è possibile uno scenario del genere ma è più impegnativo realizzarlo
  • Ho la forte sensazione che la vulnerabilità sia legata a quella dei prodotti Adobe.
    http://punto-informatico.it/2681130/PI/News/grossa...
    Sul Security Bulletin Advance Notification non ho trovato molti dettagli.
  • Gira e rigira, quando M$ rilascia le (numerose) patch tappabuchi, I€ non manca mai all'appello. Ma perchè su S€v€n, quando (finalmente) si da la possibilità all'utente di sceglire, M$ non leva del tutto l'opzione I€. Tanto non lo vuole nessuno, e per lei è un costo mantenerlo e patcharlo di continuo.
    non+autenticato
  • Ma perchè la gente parla senza sapere quello che dice Triste
    non+autenticato