Redmond (USA) – Microsoft ha rilasciato i primi tre bollettini di sicurezza dell’anno, fra cui uno che descrive la prima falla del 2003 classificata come “critical”.
Nell’advisory MS03-001 Microsoft mette a conoscenza degli utenti l’esistenza di una grave vulnerabilità contenuta nel Windows Locator, un servizio che si preoccupa di tradurre i nomi simbolici assegnati a risorse interne alla rete locale (come dischi e stampanti), nei corrispettivi indirizzi di rete. Il servizio è integrato in Windows NT, 2000 e XP ma si trova attivato di default solo nei server che svolgono l’attività di controller di domini.
La vulnerabilità consiste in un buffer overflow che potrebbe essere sfruttato da un aggressore per bloccare il servizio o eseguire del codice a sua scelta.
Come attenuante alla gravità di questo baco, Microsoft cita il fatto che un firewall ben configurato dovrebbe sempre filtrare le richieste al servizio Windows Locator provenienti da reti esterne. In ogni caso, nel suo bollettino di sicurezza Microsoft sollecita i clienti che possiedono controller di domini basati su Windows NT 4.0 o 2000 ad “applicare la patch immediatamente”.
Microsoft ha rilasciato anche una patch cumulativa per il suo Content Management Server 2001 che risolve una nuova vulnerabilità relativa ad una falla di tipo cross-site scripting: questa potrebbe essere sfruttata da un aggressore per accedere alle informazioni contenute sul sito, come dati personali degli utenti e cooky. Il link alla patch si trova all’interno del bollettino di sicurezza MS03-002 .
Di più moderata gravità è poi la falla descritta nell’avviso MS03-003 e relativa al modo in cui Outlook 2002 gestisce i certificati digitali V1 di Exchange Server. In questo caso la falla potrebbe rendere vano il processo di crittazione delle e-mail e lasciare il testo dei messaggi in chiaro. Come fattore mitigante Microsoft cita il fatto che i certificati V1 Exchange Server Security vengono usati raramente: il formato più diffuso è infatti quello S/MIME.