Megapatch per IE e OE

Microsoft ha rilasciato due patch cumulative per il proprio browser e il proprio client di posta elettronica che vanno a correggere alcune gravi falle di sicurezza emerse di recente. Pubblicata una guida alla sicurezza di WinServer 2003

Redmond (USA) - Microsoft ha rilasciato due nuove patch cumulative che, oltre ad integrare tutti i precedenti hot fix per Internet Explorer e Outlook Express, risolvono alcune nuove gravi vulnerabilitÓ di sicurezza.

La megapatch per Internet Explorer, trattata nell'advisory MS03-015, include le correzioni a quattro nuove falle di sicurezza, tre delle quali classificate con il massimo grado di rischio (critical), che interessano tutte le versioni del browser di Microsoft a partire dalla 5.01.

Una vulnerabilitÓ consiste in un buffer overrun contenuto all'interno del componente URLMON.DLL che si occupa di verificare i parametri delle informazioni ricevute da un server Web: un aggressore, secondo quanto riportato da Microsoft, pu˛ sfruttare la falla per eseguire del codice a sua scelta attraverso una pagina HTML malevola.
Un'altra vulnerabilitÓ risiede nel componente che in IE controlla l'upload dei file: un aggressore la pu˛ sfruttare per scaricare automaticamente su di un server Web un qualsiasi file contenuto sul computer dell'utente.

Una terza falla riguarda il modo in cui IE interpreta alcuni file di terze parti: un non corretto controllo dei parametri passati al browser da questi file pu˛ consentire ad un aggressore di inviare a IE una speciale URL che gli consenta di eseguire del codice a sua scelta nello stesso contesto di sicurezza dell'utente.

L'ultima falla interessa la funzione che in IE gestisce alcuni tipi di dialog box: anche in questo caso un cracker, attraverso un sito Web malevolo, pu˛ sfruttare il buco per guadagnare l'accesso ai file archiviati sul computer dell'utente.

In aggiunta a queste quattro vulnerabilitÓ, Microsoft afferma che la patch cumulativa per IE include anche un fix per IE 6.0 SP1 che corregge il metodo con cui il browser visualizza le informazioni di aiuto nella zona di sicurezza "Intranet locale".

in contemporanea a quella per IE Microsoft ha rilasciata una megapatch per Outlook Express 5.5 e 6.0 che corregge una falla di sicurezza "critical" riguardante il componente che nel client e-mail del big di Redmond gestisce gli URL di tipo MHTML (MIME Encapsulation of Aggregate HTML). Microsoft spiega che un aggressore pu˛ essere in grado di costruire una speciale URL che punta ad un file di testo archiviato sul computer locale e interpretato come HTML: se il file contiene uno script questo viene eseguito automaticamente. Il file di testo pu˛ essere inviato all'utente attraverso pagina Web o e-mail HTML malevole.

Per questa vulnerabilitÓ Microsoft elenca una serie di fattori mitiganti descritti nel bollettino di sicurezza MS03-014.

Entrambe le patch cumulative possono essere scaricate manualmente dal sito di Microsoft o attraverso il Windows Update.

Il colosso di Redmond ha poi aggiornato il bollettino di sicurezza MS03-007, che riguardava una falla in WebDAV, fornendo il link ad una patch per Windows NT 4.0.

Lo scorso Venerdý Microsoft ha anche rilasciato una nuova guida alla sicurezza di un server Windows Server 2003. Il documento, che spiega come configurare il sistema operativo in contesti d'uso comuni come i server Web o i domain controller, segue il rilascio di guide simili per Windows 2000 e SQL Server.
TAG: microsoft
18 Commenti alla Notizia Megapatch per IE e OE
Ordina