Redmond (USA) – Con l’ultima tornata di patch, Microsoft ha corretto un totale di 18 falle di sicurezza in alcuni suoi software di punta, ed in particolare in Office e Windows. Quasi la metà delle correzioni riguarda Excel, un’applicazione in cui nell’ultimo mese sono venute a galla alcune vulnerabilità piuttosto serie, due delle quali già sfruttate dai cracker.
Il bollettino relativo ad Excel, l’ MS06-037 , sostituisce il precedente MS06-12 e corregge un totale di otto vulnerabilità: tutte possono essere sfruttate mediante la creazione di documenti malformati che, quando aperti dall’utente, causano il crash del programma ed eseguono del codice potenzialmente dannoso. Nei casi più gravi l’aggressore potrebbe arrivare ad ottenere il pieno controllo del sistema vittima.
Le falle di Excel interessano le edizioni 2000, XP, 2003 e v.X per Mac di Office, ma sono considerate “critiche” solo in Office 2000 e “importanti” in tutti gli altri casi: la versione di Outlook integrata in questa suite, infatti, non richiede all’utente di scegliere Apri , Salva o Annulla prima di aprire un documento.
Le cinque vulnerabilità di Office sono descritte nei bollettini MS06-038 e MS06-039 . Anche in questo caso le falle possono essere sfruttate mediante la creazione di file non validi (tra cui immagini GIF e PNG), e sono giudicate “critiche” solo in Office 2000 e “importanti” o “moderate” nelle altre edizioni di Office (XP e 2003).
Un aggressore potrebbe trarre vantaggio da questi problemi per eseguire del codice da remoto ed eventualmente ottenere il pieno controllo del sistema. I problemi corretti nel bollettino MS06-039 interessano anche le edizioni 2000-2006 di Works Suite, mentre non interessano le versioni di Office per Mac. Al contrario, il bollettino MS06-038 riguarda anche Office per Mac ma non Works Suite.
Il bollettino MS06-035 descrive due differenti vulnerabilità di Windows: una, relativa alla possibilità che qualcuno intercetti informazioni personali in SMB, ha un fattore di rischio basso, mentre l’altra, riguardante il meccanismo di temporizzazione mailslot , viene considerata da Symantec e McAfee la falla più grave di giugno. Il problema, che affligge Windows 2000, XP e Server 2003, potrebbe essere sfruttato da un cracker per inviare ad un sistema vulnerabile dei pacchetti di rete malformati in grado di innescare un errore heap overflow: un attacco di questo tipo può consentire all’aggressore di prendere il pieno controllo del sistema vittima. A rendere questa debolezza particolarmente insidiosa c’è il fatto che non richiede alcuna interazione da parte dell’utente, rendendola dunque utilizzabile da worm e altri tipi di malware in grado di autopropagarsi.
A mitigare la pericolosità di questa falla interviene il fatto che, di default, Windows XP SP2 e Windows Server 2003 SP1 non hanno servizi attivi che utilizzino la funzione mailslot; inoltre i tentativi di attacco si possono prevenire bloccando con un firewall la porta TCP/445. Microsoft ha anche aggiunto che “i tentativi di sfruttamento di questa vulnerabilità provocherebbero quasi sicuramente una condizione di denial of service causata da un riavvio imprevisto del sistema interessato, piuttosto che l’esecuzione di codice in modalità remota”.
Un seconda falla critica di Windows, contemplata nel bollettino MS06-036 , si cela all’interno del servizio DHCP (Dynamic Host Configuration Protocol). Un malintenzionato potrebbe innescare il bug inviando ad un client una richiesta DHCP malformata che, una volta elaborata, genera l’esecuzione di codice maligno. Il problema interessa le molte aziende che utilizzano il servizio di assegnazione dinamica degli indirizzi IP, ma la sua portata è comuqne ridotta: l’host da cui parte l’attacco deve infatti trovarsi nella stessa sottorete in cui si trova la vittima.
I due bollettini classificati “importanti”, l’ MS06-033 e l’ MS06-034 , sistemano una falla nel MS.NET Framework 2.0 ed una in Internet Information Services: nel primo caso il problema riguarda ASP.NET, e potrebbe consentire ad un aggressore di accedere al contenuto della cartella delle applicazioni contenuta nel server web; nel secondo caso il problema interessa IIS 5/6 e potrebbe consentire ad un utente malevolo, dotato di credenziali di accesso valide, di assumere il controllo del server.
Oltre che manualmente, seguendo i link contenuti nei vari bollettini di sicurezza, le patch possono essere scaricate attraverso il sito Microsoft Update o la funzione Aggiornamenti automatici di Windows.