In linea con i loro cicli di rilascio delle patch, ieri Microsoft, Adobe e Oracle hanno pubblicato alcuni importanti aggiornamenti di sicurezza per i rispettivi software.
Microsoft inizia l’anno con un solo bollettino di sicurezza, l’ MS10-001 , il quale risolve una vulnerabilità “critica” nell’OpenType Font Engine di Windows. Microsoft spiega che un malintenzionato potrebbe creare dei contenuti basati sui font Embedded OpenType ( EOT ) che, una volta aperti con un’applicazione compatibile (Internet Explorer, PowerPoint o Word), sono in grado di eseguire del codice a sua scelta: nel peggiore dei casi l’aggressore può ottenere il pieno controllo del sistema vulnerabile.
Ancora una volta Microsoft raccomanda ai propri utenti di utilizzare account con privilegi limitati, così da ridurre l’impatto delle vulnerabilità più gravi.
Questo aggiornamento per la protezione è considerato di livello critico per Windows 2000 e di livello basso per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Le versioni di Windows da XP in poi, pur contenendo il codice vulnerabile, “non lo utilizzano in modo tale da esporsi allo sfruttamento della vulnerabilità” si legge nel bollettino di BigM. “Microsoft non sa se il codice vulnerabile viene utilizzato da componenti di terze parti, anche se questo è teoricamente possibile”.
L’Internet Storm Center suggerisce agli utenti di sistemi client di applicare la patch di Microsoft non appena possibile: potrebbe essere solo questione di ore prima che sul Web inizino a circolare contenuti maligni capaci di far leva su questo bug.
Maggiori informazioni sul problema vengono forniti in questo post del Microsoft Security Response Center. Microsoft aveva già corretto alcune serie vulnerabilità legate ai font EOT con i bollettini dello scorso novembre .
In questo advisory il big di Redmond ha inoltre sollecitato i suoi utenti ad aggiornare quanto prima la versione di Flash Player inclusa in Windows XP, dove anche di recente sono stati scoperti bug di sicurezza molto gravi.
Le patch di Adobe
Più turbolento l’inizio 2010 di Adobe, che nel suo primo advisory dell’anno afferma di aver identificato diverse vulnerabilità zero-day in Adobe Reader 9.2 e Acrobat 9.2 per Windows, Macintosh e UNIX, e in Adobe Reader 8.1.7 e Acrobat 8.1.7 per Windows e Mac. “Queste vulnerabilità – si apprende dall’advisory – possono causare il crash dell’applicazione e potrebbero consentire ad un aggressore di prendere il controllo del sistema interessato”.
Adobe raccomanda ai propri utenti di installare immediatamente le nuove versioni aggiornate di Reader e Acrobat, la 9.3 e la 8.2 (quest’ultima è riservata a chi, per varie ragioni, non può o non desidera migrare alla più recente 9.3). Gli aggiornamenti possono essere fatti attraverso il sistema automatico incluso nelle applicazioni di Adobe o, manualmente, scaricandoli da qui .
Gli esperti di sicurezza suggeriscono altresì agli utenti di disattivare l’esecuzione di codice JavaScript, una caratteristica spesso sfruttata dai cracker per trarre vantaggio dalle falle di Reader e Acrobat.
Le patch di Oracle
Il Critical Patch Update Advisory di gennaio pubblicato da Oracle contiene 24 fix di sicurezza relativi alla quasi totalità dei prodotti dell’azienda statunitense, inclusi i suoi database, gli application server, l’E-Business Suite, la Primavera Suite e la piattaforma PeopleSoft.
Buona parte delle vulnerabilità corrette da Oracle possono essere sfruttate a distanza senza la necessità di autenticarsi sul server remoto, il che le rende particolarmente insidiose.
Alessandro Del Rosso
Ti potrebbe interessare
13 gen 2010