Alessandro Del Rosso

Microsoft cucina patch per Windows e Office

Il prossimo martedì Microsoft pubblicherà due bollettini di sicurezza relativi ad altrettante vulnerabilità classificate con il massimo grado di rischio. I prodotti interessati sono Windows, Office e Visual Basic for Applications

Roma - Come tradizione, ieri Microsoft ha fornito qualche anticipazione sui bollettini di sicurezza - in totale due - che pubblicherà il prossimo martedì sera. Entrambi correggeranno una sola falla, ma si tratterà di bug classificati con il massimo grado di rischio e potenzialmente sfruttabili per lanciare attacchi a distanza.

Una delle due vulnerabilità interessa tutte le versioni attualmente supportate di Windows, ma BigM sottolinea come Windows 7 e Windows Server 2008 R2 non siano vulnerabili nella configurazione predefinita: per tale ragione il grado di rischio della falla associato a questi due sistemi operativi è important anziché critical.

L'altra debolezza interessa la famiglia di prodotti Office, per cui viene classificata important, e Visual Basic for Applications, per cui è invece considerata della massima gravità. Le versioni di Office interessate dal problema sono XP, 2003 e 2007.
Jerry Bryant, membro del Microsoft Security Response Center, ha fatto sapere che i bollettini di maggio non correggeranno la vulnerabilità di SharePoint recentemente segnalata nell'advisory 983438. "Il nostro team sta ancora lavorando ad un aggiornamento per questo problema" scrive Bryant. "Nel frattempo raccomandiamo ai nostri clienti di esaminare l'advisory e applicare i workaround".

Il manager ha altresì ricordato che il prossimo 13 luglio terminerà il supporto a Windows 2000 e Windows XP SP2 (si veda a tal proposito questo recente articolo).

Negli scorsi giorni si è accesa una polemica attorno al fatto che, secondo la società Core Security Technologies, lo scorso mese Microsoft avrebbe corretto alcune vulnerabilità di nascosto. Più nel dettaglio, BigM avrebbe inserito nell'aggiornamento MS10-024 due patch definite occulte che, sebbene relative allo stesso problema descritto nel bollettino, Core Security afferma correggano vulnerabilità più gravi rispetto a quella documentata da Microsoft. Molti esperti giudicano questa pratica pericolosa, perché potrebbe portare gli utenti a sottovalutare un certo aggiornamento.

Alessandro Del Rosso
28 Commenti alla Notizia Microsoft cucina patch per Windows e Office
Ordina
  • Ma Windows e office non erano sicuri? Anonimo

    Ma allora come mai alcuni sostengono che siano sicuri? Triste

    Che si stiano sbagliando? Rotola dal ridere
    non+autenticato
  • - Scritto da: Scrivi il codice antispam
    > Ma Windows e office non erano sicuri?

    Nessun programma o sistema operativo è sicuro.

    > Ma allora come mai alcuni sostengono che siano
    > sicuri?
    >Triste

    Sono sufficientemente sicuri, se alla tastiera non c'è un ritardato mentale.

    > Che si stiano sbagliando?

    Direi di si.
    non+autenticato
  • - Scritto da: Frank
    > - Scritto da: Scrivi il codice antispam
    > > Ma Windows e office non erano sicuri?
    >
    > Nessun programma o sistema operativo è sicuro.

    Verissimo. Ma c'è sicurezza e sicurezza... Se senza privilegi si possono installare virus è un problemino intrinseco al sistema operativo.

    > > Ma allora come mai alcuni sostengono che siano
    > > sicuri?
    > >Triste
    >
    > Sono sufficientemente sicuri, se alla tastiera
    > non c'è un ritardato
    > mentale.

    Sono penosamente sicuri... Lo dimostrano tutte le falle aperte (anche con veri e propri proof-of-concept pubblici) o patchate con mesi di ritardo...

    > > Che si stiano sbagliando?
    >
    > Direi di si.
    non+autenticato
  • - Scritto da: Frank

    > Nessun programma o sistema operativo è sicuro.
    >

    si ma esistono vari gradi di sicurezza

    > > Ma allora come mai alcuni sostengono che siano
    > > sicuri?
    > >Triste
    >
    > Sono sufficientemente sicuri, se alla tastiera
    > non c'è un ritardato
    > mentale.
    >

    questa leggenda metropolitana è come quella del "windows ha più bug perchè è più usato" o "windows è pieno di virus perchè è il più diffuso"

    un sistema operativo deve garantire robustezza nei confronti degli attacchi remoti e windows non fa un gran lavoro in questo senso e ne sono complici anche gli antivirus che spesso aprono buchi invece di chiuderli

    se parliamo di trojan allora hai ragione, perchè lì la colpa è dell'utente che scarica dal mulo

    > > Che si stiano sbagliando?
    >
    > Direi di si.

    non dirlo a dovellaA bocca aperta
    non+autenticato
  • - Scritto da: Scrivi il codice antispam
    > Ma Windows e office non erano sicuri? Anonimo
    >
    > Ma allora come mai alcuni sostengono che siano
    > sicuri?
    >Triste
    >
    > Che si stiano sbagliando? Rotola dal ridere
    Non credo che esiste qualcuno che abbia detto mai che esiste software sicuro. Windows e Office sono probabilmente i due software più diffusi al mondo, è normale che vengono scoperte tante vulnerabilitàm, e altrettanto normale che vengano corrette. Se l'articolo si fosse chiamato "windows e office affilano le unghie", probabilmente per voi era meglio
    non+autenticato
  • LA diffusione conta poco purtroppo.
    Sgabbio
    26178
  • al declino di un Impero.
    ruppolo
    33147
  • Perchè rilascia della patch ?
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Perchè rilascia della patch ?

    Lui è abituato ad essere affilato, non sa cosa significa patch.
    non+autenticato
  • - Scritto da: ruppolo
    > al declino di un Impero.

    Io è da una vita che lo dico!! A bocca apertaA bocca aperta
    non+autenticato
  • È bello dirlo, vero? Piace molto anche a me!
    non+autenticato
  • - Scritto da: Nedanfor non loggato
    > È bello dirlo, vero? Piace molto anche a me!

    È bello constatarlo.
    ruppolo
    33147
  • La Matousec società attiva nel settore della sicurezza in ambito Windows, ha pubblicato i risultati di uno studio sulla tecnologia HIPS presente nella quasi totalità dei software antivirus, che risultano vulnerabili allo "argument-switch attack" che consente di chiamare funzioni di Windows protette senza alcun controllo da parte del software di sicurezza, l'attacco funziona anche in presenza di privilegi limitati.

    http://www.matousec.com/info/articles/khobe-8.0-ea...

    http://www.matousec.com/info/advisories/khobe-8.0-...
  • - Scritto da: gnulinux86
    > La Matousec società attiva nel settore della
    > sicurezza in ambito Windows, ha pubblicato i
    > risultati di uno studio sulla tecnologia HIPS
    > presente nella quasi totalità dei software
    > antivirus, che risultano vulnerabili allo
    > "argument-switch attack" che consente di chiamare
    > funzioni di Windows protette senza alcun
    > controllo da parte del software di sicurezza,
    > l'attacco funziona anche in presenza di privilegi
    > limitati.
    >
    > http://www.matousec.com/info/articles/khobe-8.0-ea
    >
    > http://www.matousec.com/info/advisories/khobe-8.0-

    Perfettamente d'accordo.

    Inoltre, andando a vedere i report di affidabilità su http://www.av-comparatives.org/ si nota come NESSUN AV raggiunga una detection rate (DR) del 100%.

    Da cui si deduce che:
    - Qualsiasi AV venga utilizzato, c'è sempre un margine di rischio.
    - Ipotizzando che un AV raggiunga una DR del 90% (i migliori lo fanno) e sapendo che i virus in circolazione solo milioni, il restante 10% sono MOLTI virus!!
    - Alcuni AV si appoggiano su motori di ricerca "euristica" per aumentare la DR, col rischio di incappare nei "falsi positivi" (come era successo ad un mio amico winaro: Antivir gli vedeva la nuova versione di uTorrent come un virus).
    - Ingrandendo il DB delle definizioni aumenta l'uso di RAM e diminuiscono le prestazioni di I/O sui file, quindi i virus più vecchi e meno diffusi non sono contemplati... ma sono sempre in circolazione!!

    In pratica l'AV è un business per i produttori e una falsa illusione di sicurezza per gli utenti. Il miglior AV è un corretto comportamento dell'utente (magari aiutato da un OS e da un browser sicuriOcchiolino )
    non+autenticato
  • - Scritto da: Il Profeta
    > - Scritto da: gnulinux86
    > > La Matousec società attiva nel settore della
    > > sicurezza in ambito Windows, ha pubblicato i
    > > risultati di uno studio sulla tecnologia HIPS
    > > presente nella quasi totalità dei software
    > > antivirus, che risultano vulnerabili allo
    > > "argument-switch attack" che consente di
    > chiamare
    > > funzioni di Windows protette senza alcun
    > > controllo da parte del software di sicurezza,
    > > l'attacco funziona anche in presenza di
    > privilegi
    > > limitati.
    > >
    > >
    > http://www.matousec.com/info/articles/khobe-8.0-ea
    > >
    > >
    > http://www.matousec.com/info/advisories/khobe-8.0-
    >
    > Perfettamente d'accordo.
    >
    > Inoltre, andando a vedere i report di
    > affidabilità su http://www.av-comparatives.org/
    > si nota come NESSUN AV raggiunga una detection
    > rate (DR) del
    > 100%

    ROTFL. Mi spiace constatare l'ovvio qui, ma le statistiche di AV-comparatives non fanno alcun testo, perche' vengono fatte su file vecchi di mesi se non ANNI, e non su malware ATTIVO IN QUESTO MOMENTO. Gli unici test che hanno senso sono quelli fatte su malware attivo in questo momento, e se credi che ci sia un antivirus che si avvicini anche minimamente al 90% sei un illuso. Si parla di percentuali che non arrivano neanche al 50%.
    non+autenticato
  • siccome lo fa m$ tutti zitti.

    se l'avesse fatto Apple saremmo già a quota 300 commenti.

    un saluto ai troll di PI.
    non+autenticato
  • Solo perchè Apple assieme a Google fanno "tendenza" di questi tempi, altrimenti vedi te... altro che 300 commenti, ma poi ormai su M$ si è detto e ridetto di tutto. Ormai è un vecchio nemico che si conosce bene. Nulla di nuovo sul fronte occidentale come dicevano una volta e sinceramente ha anche un pò rotto le balle ormai.

    Apple e Google invece sono ancora tutte da "scoprire". A bocca aperta
    non+autenticato
  • Divertente questa cosa.

    Adesso infilano nei computer della gente pure degli aggiornamenti occulti.
    Non dicono che cosa correggono, non dicono che cosa c'e' dentro, non dicono niente, e sperano che la cosa passi inosservata.

    Cca' nisciuno e' fesso! (o forse si'?)

    Per fortuna questi sono problemi vostri!

    Io, i miei aggiornamenti di sistema so che cosa contengono, altro che patch occulte!
  • Forse ricordo male ma non sarebbe la prima volta che viene utilizzata una silent patch.
  • Esatto e chissà quante altre volte lo ha fatto...
    non+autenticato
  • Mi ricorda lo scandalo scoppiando quando ci furono gli aggiornamenti silenti per il win update.

    Molti difendevano microsoft tirando fuori come esempio la centralina della macchina Rotola dal ridere
    Sgabbio
    26178
  • Si è una cosa accaduta anni fà. Questi aggiornamenti venivano scaricati e aggiornati ignorando le impostazioni che davi al sistema.
    Sgabbio
    26178
  • - Scritto da: Valeren
    > Forse ricordo male ma non sarebbe la prima volta
    > che viene utilizzata una silent
    > patch.

    No, non è la prima.
    Io stesso ho assistito ad un silent upgrade di Windows 2005 Server, con conseguente riavvio e mancata riattivazione dei servizi, durante la notte.
    ruppolo
    33147
  • 2003 volevi dire, vero ?
    Sgabbio
    26178
  • Ma oltre a ciò che infila, mi piacerebbe anche sapere quali dati "sfila" esattamente. Hummm... mi sa che windows lo eliminerò definitivamente dalle macchine di casa. Al massimo rimmarrà seven in emulazione sul Mac. Per gli altri una bella distro Ubuntu (però sono tentato da Debian o da una distro BSD). Solaris 10 è bello ma è troppo "gnucco". Troppo da server.

    Ma poi non ho neanche il tempo... che palle ! Vedremo.
    non+autenticato
  • - Scritto da: Eretico
    > Ma oltre a ciò che infila, mi piacerebbe anche
    > sapere quali dati "sfila" esattamente. Hummm...
    > mi sa che windows lo eliminerò definitivamente
    > dalle macchine di casa. Al massimo rimmarrà seven
    > in emulazione sul Mac. Per gli altri una bella
    > distro Ubuntu (però sono tentato da Debian o da
    > una distro BSD). Solaris 10 è bello ma è troppo
    > "gnucco". Troppo da server.
    >
    >
    > Ma poi non ho neanche il tempo... che palle !
    > Vedremo.

    ma a che serve windows a casa oltre che a giocare?
    GNU/Linux per navigare in rete e windows per giocare, ben sconnesso da ogni apparecchiatura di navigazione (cavo di rete e wireless), ogni altro uso di win sarebbe pericoloso.
    non+autenticato
  • - Scritto da: attonito
    > - Scritto da: Eretico
    > > Ma oltre a ciò che infila, mi piacerebbe anche
    > > sapere quali dati "sfila" esattamente. Hummm...
    > > mi sa che windows lo eliminerò definitivamente
    > > dalle macchine di casa. Al massimo rimmarrà
    > seven
    > > in emulazione sul Mac. Per gli altri una bella
    > > distro Ubuntu (però sono tentato da Debian o da
    > > una distro BSD). Solaris 10 è bello ma è troppo
    > > "gnucco". Troppo da server.
    > >
    > >
    > > Ma poi non ho neanche il tempo... che palle !
    > > Vedremo.
    >
    > ma a che serve windows a casa oltre che a giocare?
    > GNU/Linux per navigare in rete e windows per
    > giocare, ben sconnesso da ogni apparecchiatura di
    > navigazione (cavo di rete e wireless), ogni altro
    > uso di win sarebbe
    > pericoloso.

    E' una storia lunga. Diciamo che a mia moglie, per motivi di lavoro, preferiva usare Windows. Poi ha scoperto OpenOffice (o meglio, gli ho fatto scoprire OpenOffice) e poi ha scoperto che la scuola per cui lavora attualmente ha optato per OpenOffice e a sto punto windows è diventato praticamente inutile. (Secondo me il punto di forza coincide con gli strumenti Office e l'integrazione esasperata, eliminati i quali, windows diventa totalmente inutile). L'intenzione sarebbe quella di piallare prima di tutto (s)Vista installato sul portatile che utilizza al lavoro per poi passare al desktop. Mia moglie sembra favorevole ad Ubuntu perciò... il problema per me è il tempo non la voglia o le capacità per farlo.
    non+autenticato