Redmond (USA) – Nel suo ormai tradizionale appuntamento mensile Microsoft ha rilasciato tre nuovi aggiornamenti di sicurezza, di cui nessuno valutato come critico, che interessano Outlook, MSN Messenger e Windows Media Services. Il big di Redmond ha anche annunciato la disponibilità del terzo service pack (SP) per Office XP.
La falla più seria, classificata da Microsoft come “important”, è quella descritta nel bollettino MS04-009 e relativa a tutte le versioni di Outlook 2002 prive del recente SP3 per Office XP. La vulnerabilità, causata da una cattiva gestione di alcuni URL mailto da parte di Outlook 2002, potrebbe essere sfruttata da un aggressore per far seguire ad Internet Explorer uno script con gli stessi privilegi dell’utente locale. Microsoft ha spiegato che un cracker potrebbe servirsi della debolezza inserendo in una pagina o in una e-mail HTML un link formattato in un certo modo: se un utente clicca sul link, l’aggressore potrebbe ottenere l’accesso ai file locali o eseguire del codice a propria scelta. Il big di Redmond ha sottolineato come questo attacco funzioni solo se l’utente utilizza come home page predefinita “Outlook Today”, pagina che il programma cambia automaticamente in “Inbox” non appena viene creato il primo account di e-mail.
Update (ore 12,11): Microsoft ha aggiornato il bollettino di sicurezza MS04-009 elevando il livello di rischio della vulnerabilità a “critical”. Microsoft afferma di aver scoperto che la falla interessa anche gli utenti che non hanno “Outlook Today” come home page predefinita di Outlook 2002. ( fine update )
Il bollettino MS04-010 descrive invece una vulnerabilità delle versioni 6.0 e 6.1 di MSN Messenger valutata da Microsoft con un grado di rischio moderato. Il problema risiede nella non corretta gestione, da parte del client di messaggistica istantanea di Microsoft, della richiesta di un file. Attraverso l’invio ad un client di una speciale richiesta, un utente malintenzionato potrebbe sfruttare la falla per accedere, all’insaputa dell’utente, ad un file di cui conosca nome e locazione presente sul sistema vulnerabile. Per riuscire a servirsi di questa breccia l’aggressore deve però conoscere il nome con cui la vittima è iscritta a MSN Messenger e, se quest’ultima ha disattivato la ricezione dei messaggi provenienti da utenti anonimi, deve anche far parte della sua rubrica.
La terza falla, anch’essa valutata di rischio moderato, riguarda invece Windows Media Services, un componente di Windows 2000 Server che consente di gestire e distribuire via Internet contenuti audio/video in formato Windows Media. Come spiegato nell’advisory MS04-008 , un errore nel modo in cui due componenti del server di streaming, Windows Media Station Service e Windows Media Monitor Service, gestiscono le connessioni TCP/IP, potrebbe consentire ad un aggressore di bloccare il servizio attraverso l’invio alla porta di quest’ultimo di una sequenza di pacchetti TCP/IP fatti in un certo modo.
In concomitanza con il rilascio delle patch che pongono fine ai problemi sopra descritti, Microsoft ha rilasciato anche l’ SP3 per Office XP . Sul sito del big di Redmond si legge che l’aggiornamento, che include tutti i fix presenti nei precedenti service pack, contiene miglioramenti alla sicurezza, alla stabilità e alle prestazioni. Microsoft raccomanda di verificare la necessità o meno di installare il service pack utilizzando il servizio Office Update .
Ti potrebbe interessare
11 mar 2004