Alfonso Maruccia

Microsoft, martedý di patch da record

Redmond annuncia le novitÓ del prossimo Patch Tuesday, sottolineando il numero senza precedenti di bollettini di sicurezza da rilasciare. Molti i software aggiornati oltre a Windows, esclusi gli utenti di XP SP2

Roma - Sarà un martedì di patch da record, annuncia Microsoft: ad agosto, la tradizionale distribuzione mensile di fix per il rattoppo di vulnerabilità software conterrà un numero senza precedenti di bollettini di sicurezza. Sarà insomma un Patch Tuesday da ricordare, promettono da Redmond, mentre l'assoluta mancanza di update per Windows XP SP2 serve da promemoria per gli utenti che ancora non avessero aggiornato il vecchio Windows al più recente Service Pack 3.

Il prossimo Patch Tuesday è fissato per il 10 di agosto, come sempre il secondo martedì del mese. Saranno 14 i bollettini distribuiti ad amministratori di sistema e a utenti attenti a tenere il proprio software aggiornato, per un totale di 34 vulnerabilità tappate nei sistemi operativi Windows e in molti altri software Microsoft.

Otto bollettini descrivono vulnerabilità classificate come "critiche", il livello di pericolosità più alto sulla scala di Redmond generalmente dedicato a bachi attraverso cui potrebbero passare esecuzione di codice malevolo da remoto e altre piacevolezze di tale risma. Sei di questi bollettini critici riguardano vulnerabilità di Windows, mentre un altro è dedicato congiuntamente a Windows e Silverlight e un altro ancora alla suite Office.
Nel complesso, la lista del software patchato questo mese è oltremodo ricca e comprende Windows 7, Windows Vista, Windows XP (SP3), Windows Server 2003 e 2008 R2, Internet Explorer (6, 7 e 8), Office XP (SP3), Office 2003 SP3, Office 2007, Office System SP2, Office 2004 e 2008 per Mac, Office World Viewer, Office Compatibility Pack, Microsoft Works 9, Silverlight 2 e 3.

"Gli utenti di Windows XP SP2 non verranno riforniti di alcuna patch - osserva il CTO di Qualys Wolfgang Kandek - nonostante sia molto probabile che le cinque vulnerabilità critiche di XP SP3 riguardino anche la versione non più supportata del sistema operativo". Ed è per tale ragione che "Gli utenti di Windows XP SP2 dovrebbero aggiornare al Service Pack 3 quanto prima è possibile", dice Kandek.

Alfonso Maruccia
Notizie collegate
84 Commenti alla Notizia Microsoft, martedý di patch da record
Ordina
  • Prendiamo tre sistemi operativi a caso: Ubuntu 9.04, Windows XP Home e Mac Os X

    Queste le statistiche di secunia per Ubuntu
    http://secunia.com/advisories/product/21851/?task=...

    Queste quelle di XP Home
    http://secunia.com/advisories/product/16/?task=sta...

    e quelle di MacOsX
    http://secunia.com/advisories/product/96/?task=sta...

    Vorrei sottoporre alla vostra attenzione il primo diagramma a torta, alla voce "unpatched".

    Non so chi e' che dice che questo sito sia piu' vicino a M$, ma a me sembra il contrario: 0% per Ubuntu (non mi sono messo a cercare le altre distro, fatelo voi se vi va), 6% per MacOsX e 13% per winXP Home.
    Seven, col suo 9% di unpatched non sta molto meglio.

    Se vado a vedere un'altra distro a caso... chessò, Mandriva stesso discorso: 0% unpatched.
    Provo Suse... ecco, sulla 9.3 c'e' rimasto un partial fix, ma comunque e' 0% unpatched.

    Questi fatti indicano che alcuni dei sistemi *nix presi in esame hanno alle spalle delle società che prendono molto sul serio gli alert sulla sicurezza e pongono rimedio.
    Apple a parte.

    La totalita' dei sistemi *win invece ha qualche problema non corretto, questo indica, a mio avviso, una scarsa attenzione alla qualita' del prodotto offerto.

    Questo se devo dar retta alle statistiche che vedo su Secunia.
    Dopo questo giovedi' infernale ci saranno meno problemi "unpatched"? Ottimo, spero proprio che sia cosi', ma pure che non fosse... attualmente XP gira dentro una bollicina a 32 bit, insieme ad AROS, BeOS, Dos6.22, Win 3.11 e tanti altri.
    Ognuno nella sua bollicina.

    GT
    non+autenticato
  • > Non so chi e' che dice che questo sito sia piu'
    > vicino a M$, ma a me sembra il contrario: 0% per
    > Ubuntu (non mi sono messo a cercare le altre
    > distro, fatelo voi se vi va), 6% per MacOsX e 13%
    > per winXP Home.

    quando vendo questo mi chiedo una cosa.

    Ubuntu che versione di Gnome usa? Perchè quelli di gnome non possono usare le correzioni fatte da ubuntu?

    Mi chiedo questo perchè nella pagine di Gnome 2.x trovo 6 falle su 7 non corrette.

    http://secunia.com/advisories/product/3277/

    Perchè se da una parte sono corrette ( ubuntu ) dall'altra non lo sono?

    Forse che in ubuntu considerano solo alcune parti?
  • Se non erro, te l'ho avevo spiegato mesi fa in altra discussione, è un problema di comunicazione di Secunia, esempio:

    http://secunia.com/advisories/26503/

    Sembrerebbe una falla Unpatched, ma se andiamo alla voce For more information dell'advisory di Secunia scopriamo che è stata risolta:

    http://secunia.com/advisories/27260/

    Vale per tutte le falle segnalate unpatched su Gnome, sono tutte risolte, apposta su Ubuntu non trovi falle aperte nonostante il DE di default sia Gnome.
  • - Scritto da: gnulinux86
    > Se non erro, te l'ho avevo spiegato mesi fa in
    > altra discussione, è un problema di comunicazione
    > di Secunia,

    Ricordo varie discussioni, ma essendo pignolo, e considerando che preferisco partire dalla diffidenza quando si parla di problemi di sicurezza ( per poi scoprire che magari mi sono sbagliato ).

    In Ubuntu ( ma potrei dire anche altre distro ) trovo vari programmi, presi insieme vedo 0 falle, presi uno alla volta di falle ne trovo a decine.

    quale è il parametro giusto? Qualcuno sarà corretto, ma tutti?

    Stesso discorso vale Per Windows.

    Prendiamo Windows 7.
    http://secunia.com/advisories/product/27467/

    una falla aperta.

    Internet Explorer 8 ne ha 4 falle aperto, a meno che non siano incluse falle presenti solo negli altri OS, il calcolo non è proprio facile ( considerando che IE è incluso in windows ).

    > http://secunia.com/advisories/26503/
    >
    > http://secunia.com/advisories/27260/
    >
    > Vale per tutte le falle segnalate unpatched su
    > Gnome, sono tutte risolte, apposta su Ubuntu non
    > trovi falle aperte nonostante il DE di default
    > sia Gnome.

    purtroppo cosi è molto vago, prendiamo un altro esempio, ( al momento non ho sottomano ubuntu, quindi vado per ricordi ).
    Se non sbaglio in ubuntu è installato openffice, se non sbaglio c'è una falla non corretta, possibile che:

    - ancora mancata segnalazione / sincronia di secunia

    - non contata perchè openoffice viene visto come programma incluso ma esterno.

    - la versione OO di ubuntu è corretta.

    Non so perchè, ma visto il gran numero di programmi presenti in un OS moderno sono portato a pensare alla seconda, purtroppo aggiornare sempre il tutto non penso sia una cosa cosi facile.

    p.s. non voglio dare la colpa a secunia, il lavoro da fare non è affatto poco e lo riconosco.
  • Non sono vago, mi sono basato sul link di Secunia che tu hai fornito questo:

    http://secunia.com/advisories/product/3277

    Se prendi List of Secunia Advisories (All time) e controlli le pseudo falle aperte scoprirai che sono tutte risolte basta andare alla voce " For more information " .

    Per questo quando controlli gli advisory riguardanti Ubuntu non trovi falle aperte.
  • Ci possono essere anche mille falle aperte. Bisogna vedere però se sono sfruttabili e se, qualora lo fossero, che danni apporterebbero (un hacker non perde tempo a farti comparire una semplice schermata blu).
    non+autenticato
  • > ROTFL, ovviamente tu hai bisogno delle immagini per capire. Ora mi tocca > trovare uno schemino dove ti viene spiegata la differenza tra un so
    > completo e un kernel.

    su su trovami questo schemino trollazzo Rotola dal ridere

    alla fine ti sei convinto che microkernel e scheduling realtime sono due cose diverse?A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > > ROTFL, ovviamente tu hai bisogno delle immagini
    > per capire. Ora mi tocca > trovare uno schemino
    > dove ti viene spiegata la differenza tra un
    > so
    > > completo e un kernel.
    >
    > su su trovami questo schemino trollazzo Rotola dal ridere

    Sono all'estero, ma appena torno passo dalla scuola elementari e vedo se hanno un sussidiario.

    > alla fine ti sei convinto che microkernel e
    > scheduling realtime sono due cose diverse?A bocca apertaA bocca aperta
    >A bocca aperta

    ROTFL, non c'era bisogno di convincersi è la tua testolina che ha formulato l'equazione in uno dei tanti cortocircuiti ... tu hai finalmente capito che i microkernel si usano solo in ambito realtime perchè performano peggio dei monolitici ed ibridi? O sei ancora convinto che navigare su internet con QNX sia una fantastica ixpirience?
    non+autenticato
  • - Scritto da: nome e cognome
    >
    > ROTFL, non c'era bisogno di convincersi è la tua
    > testolina che ha formulato l'equazione in uno dei
    > tanti cortocircuiti ... tu hai finalmente capito
    > che i microkernel si usano solo in ambito
    > realtime perchè performano peggio dei monolitici
    > ed ibridi? O sei ancora convinto che navigare su
    > internet con QNX sia una fantastica
    > ixpirience?

    quindi non si può usare qnx su un pc? no questa voglio proprio sentirla, così almeno ci convinciamo tutti che non capisci niente di informatica

    piuttosto pensa al tuo mega-patchone di domani, tanto non ti servirà a niente visto che c'è già un altro buco http://www.vupen.com/english/advisories/2010/2029

    Rotola dal ridere

    meno male che era linux ad essere pieno di bug per la privilege escalation

    bug che ovviamente vedi solo tu, visto che di 11 bug segnalati da te, il 50% permettono a mala pena un dos Rotola dal ridere
    non+autenticato
  • > quindi non si può usare qnx su un pc? no questa
    > voglio proprio sentirla, così almeno ci
    > convinciamo tutti che non capisci niente di
    > informatica

    Penso di aver capito qual'è il tuo problema... facciamo una piccola prova: buona parte del mondo preferisce mangiare cioccolato invece della cacca.
    Il 99.9% di chi legge interpreta come "è meglio mangiare cioccolato", tu invece ti chiedi "per quale motivo non si può mangiare la cacca"?

    Corretto?

    > piuttosto pensa al tuo mega-patchone di domani,
    > tanto non ti servirà a niente visto che c'è già
    > un altro buco
    > http://www.vupen.com/english/advisories/2010/2029

    Lol...

    http://www.vupen.com/english/advisories/2010/2038

    Sei gia pronto all'update?

    > meno male che era linux ad essere pieno di bug
    > per la privilege
    > escalation

    Wow... ne hanno trovato - forse - uno su windows.

    > bug che ovviamente vedi solo tu, visto che di 11
    > bug segnalati da te, il 50% permettono a mala
    > pena un dos
    > Rotola dal ridere

    E il restante 50% sono privilege escalation...
    non+autenticato
  • - Scritto da: nome e cognome
    > > quindi non si può usare qnx su un pc? no questa
    [...]

    http://www.vupen.com/english/advisories/2007/2857
    1093 giorni (ok, l'SDK delle directX non e' diffusissimo)

    ma questo
    http://www.vupen.com/english/advisories/2007/3182
    che invece riguarda il "find file" di winzozz?
    1053 giorni?

    EccheRazzo (erre come Cagliari).
    non+autenticato
  • > ma questo
    > http://www.vupen.com/english/advisories/2007/3182
    > che invece riguarda il "find file" di winzozz?
    > 1053 giorni?

    Se ho capito qualcosa di inglese:

    effettivamente parlando, questo bug che impatto ha?
    La funzione FindFile chi la usa? Sembra che passando un parametro troppo lungo si generi un errore? Chi passa questo parametro che possibilità ha di avere un parametro cosi lungo?
    Quanto deve essere lungo. Come si potrebbe sfruttare questo bug ( escluso scaricare un file .exe che lo fa di suo, a quel punto tanto vale scaricare un supervirus per eccellenza ).

    >
    > EccheRazzo (erre come Cagliari).
  • > http://www.vupen.com/english/advisories/2007/2857
    > 1093 giorni (ok, l'SDK delle directX non e'
    > diffusissimo)

    E soprattutto siamo alla versione 9...

    > ma questo
    > http://www.vupen.com/english/advisories/2007/3182
    > che invece riguarda il "find file" di winzozz?
    > 1053 giorni?

    Moderato? E XP SP2?
    non+autenticato
  • - Scritto da: nome e cognome

    > Sono all'estero, ma appena torno passo dalla
    > scuola elementari e vedo se hanno un sussidiario.

    alla fine hai deciso che andare in Africa come volontario era la cosa migliore da fare

    almeno lì non si accorgono della tua incompetenza, hanno ben altri problemi Rotola dal ridere
    non+autenticato
  • > alla fine hai deciso che andare in Africa come
    > volontario era la cosa migliore da
    > fare
    >
    > almeno lì non si accorgono della tua
    > incompetenza, hanno ben altri problemi
    > Rotola dal ridere

    Già li hanno riempiti di laptop con su linux, e dovendo scegliere se usarli o ammazzarsi a colpi di machete hanno preferito la seconda.
    non+autenticato
  • "...conterrà un numero senza precedenti di bollettini di sicurezza. Sarà insomma un Patch Tuesday da ricordare, promettono da Redmond,..."

    E' un vanto produrre un Patch Day da record con un numero spropositato di falle chiuse?
  • > E' un vanto produrre un Patch Day da record con
    > un numero spropositato di falle
    > chiuse?

    Perchè non dovrebbe esserlo?
    non+autenticato
  • ma come, in mille altri thread spari a zero sulle centinaia di megabytes di update di ubuntu e adesso dici che un mega-patchone è cosa buona e giusta?

    vedo che ormai le tue ventose si sono rovinate Rotola dal ridere

    beh certo da uno che dice microkernel=embedded=realtime non mi aspettavo niente di diversoA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > ma come, in mille altri thread spari a zero sulle
    > centinaia di megabytes di update di ubuntu e
    > adesso dici che un mega-patchone è cosa buona e
    > giusta?

    Rotola dal ridere e dove si parlava di "megabytes"? Non è ancora stata rilasciata la patch quindi per quel che ne sai tu potrebbe essere "pochi" megabytes.

    Quello che il tuo cervellino sta cercando di recepire ma che come al solito tocca spiegare è "non è un male patchare le falle: è male quando si patchano ogni giorno a cazzo di cane".

    > vedo che ormai le tue ventose si sono rovinate
    > Rotola dal ridere

    Purtroppo a forza di picchiartele in testa per cercare di sgorgare il tuo neurone intasato...

    > beh certo da uno che dice
    > microkernel=embedded=realtime non mi aspettavo
    > niente di diverso
    >A bocca aperta

    No infatti, non mi aspettavo che capissi al primo colpo ... ormai è un dato di fatto: ti servono i disegnini.
    non+autenticato
  • - Scritto da: nome e cognome

    > Quello che il tuo cervellino sta cercando di
    > recepire ma che come al solito tocca spiegare è
    > "non è un male patchare le falle: è male quando
    > si patchano ogni giorno a cazzo di
    > cane".
    >

    no il male è usare un os strabuggato, pesante e lento

    ti brucia che noi abbiamo un os snello e performante?A bocca aperta


    > > vedo che ormai le tue ventose si sono rovinate
    > > Rotola dal ridere
    >
    > Purtroppo a forza di picchiartele in testa per
    > cercare di sgorgare il tuo neurone intasato...
    >

    ovvio, i miei neuroni sono intasati di conoscenza, i tuoi invece sono vuoti e infatti hai la testa completamente vuotaA bocca aperta


    > No infatti, non mi aspettavo che capissi al primo
    > colpo ... ormai è un dato di fatto: ti servono i
    > disegnini.

    ah ecco adesso come al solito ritratti di brutto, mentre fino a qualche settimana fa hai detto che microkernel=realtime

    è inutile cambiare le carte in tavola, tanto ti sei sgamato da solo

    e pensa al prossimo attacco al tuo uindovs http://www.vupen.com/english/advisories/2010/2029 Rotola dal ridere

    GET THE FACTS Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • > no il male è usare un os strabuggato, pesante e
    > lento

    Te lo sto dicendo da un pezzo.

    > ti brucia che noi abbiamo un os snello e
    > performante?
    >A bocca aperta

    hai installato finalmente windows 7? Bravo... visto com'è bello il 21mo secolo?

    > ovvio, i miei neuroni sono intasati di
    > conoscenza, i tuoi invece sono vuoti e infatti
    > hai la testa completamente vuota
    >A bocca aperta

    Ecco perchè non capisci niente ... sei intasato di conoscenze sbagliate, bisogna sgorgarti e ricominciare.

    > ah ecco adesso come al solito ritratti di brutto,
    > mentre fino a qualche settimana fa hai detto che
    > microkernel=realtime

    Quota. Vediamo la frase incriminata.

    > è inutile cambiare le carte in tavola, tanto ti
    > sei sgamato da
    > solo

    Ovviamente...

    > e pensa al prossimo attacco al tuo uindovs
    > http://www.vupen.com/english/advisories/2010/2029
    > Rotola dal ridere
    >
    > GET THE FACTS Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Brrr... adesso sfrutto il bug e violo il mio sistema.
    non+autenticato
  • > ti brucia che noi abbiamo un os snello e
    > performante?
    >A bocca aperta

    abbastanza, peccato che

    Haiku commercialmente parlando non esiste, quindi programmi/driver anche.

    ReactOs è troppo indietro.

    Syllabe, Aros, MenuetOs e derivati, vedi Haiku.

    Mi tengo WinXp che è un ottimo compromesso.

    > http://www.vupen.com/english/advisories/2010/2029
    > Rotola dal ridere

    come funziona questo bug? da quanto ho capito bisogna passare per la clipboard.
  • - Scritto da: nome e cognome
    > > E' un vanto produrre un Patch Day da record con
    > > un numero spropositato di falle
    > > chiuse?
    >
    > Perchè non dovrebbe esserlo?

    Perchè non è motivo di vanto dichiarare che il proprio sistema necessita di così tante pezze.
  • - Scritto da: DarkOne
    > - Scritto da: nome e cognome
    > > > E' un vanto produrre un Patch Day da record
    > con
    > > > un numero spropositato di falle
    > > > chiuse?
    > >
    > > Perchè non dovrebbe esserlo?
    >
    > Perchè non è motivo di vanto dichiarare che il
    > proprio sistema necessita di così tante
    > pezze.

    Lascia stare: come qualcun altro piu' sopra ha fatto notare, il fatto che le patch vengano rilasciate e' un buon segno, significa che il codice e' sotto controllo.

    L'ideale e' che dal giorno della scoperta alla correzione passi il minor tempo possibile.
    A volte non e' così e i numeri, in questo senso, danno tutti contro Microsoft.

    GT
    non+autenticato
  • Se si tratta di OSX e Linux, si lamentano del peso della patch (che poi se contengono pure aggiornamenti di altra natura non importa....), però se windows tipo rilascia delle mega patch senza precedenti, si loda...mah!
    Sgabbio
    26177
  • "Office World Viewer" ...

    noOcchiolino

    PS rimuovete questo commento dopo aver corretto, per me va benissimo
    non+autenticato
  • Insomma, ma possibile che ogni volta che si parla di sistemi operativi, nei commenti scoppia l'inferno? Meglio windows ... non sparar cazzate, è meglio mac, poi arriva l'altro e linux non lo batte nessuno...

    Ma possibile che ogni volta vi dovete fare la guerra ? Io questa cosa proprio non la capisco. Ognuno è libero di usare il sistema che gli piace di piu' ? credo di si. E allora, perchè sempre a criticare il sistema che usano gli altri? Mettetevi il cuore in pace...

    mi dispiace vedervi cosi' avviliti...

    Ma poi piu' che altro che razza di notizia è questa ? Letto il sottotitolo sai tutta la notizia. Non dice niente di piu'.. mbo forse saro' io che so troppppooo avantiA bocca aperta

    Ciao Raga!
    non+autenticato
  • - Scritto da: Reysan
    [...]> Ma poi piu' che altro che razza di notizia è
    > questa ?

    a me è stata utile.
    non+autenticato
  • - Scritto da: Reysan
    > E allora, perchè sempre a
    > criticare il sistema che usano gli altri?

    C'hai presente "non c'hanno un casso d'altro di meglio da fare"? Ecco... quello.Occhiolino
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)