Redmond (USA) – Con uno dei più corposi aggiornamenti di sicurezza di sempre, martedì notte Microsoft ha corretto 21 vulnerabilità di sicurezza contenute in Windows, Internet Explorer, Windows Media Player, Exchange e alcune applicazioni di Office.
Dei 12 bollettini pubblicati, 8 sono stati classificati dal colosso di Redmond come critici . Di seguito se ne riporta una sintesi.
Il bollettino MS06-027 stucca la tanto pubblicizzata falla zero-day scoperta lo scorso mese in Word e subito presa di mira da alcuni malware, tra cui il trojan Mdropper.H . Il bug, presente in Office 2000/XP/2003 e nelle edizioni 2000-2006 della Works Suite, può essere sfruttato creando un documento contenente un puntatore ad un oggetto non valido: quando aperto, il documento esegue del codice che può consentire ad un malintenzionato di prendere il pieno controllo del sistema.
Di impatto simile alla precedente la falla corretta dal bollettino MS06-028 , che interessa un altro celebre componente di Office, PowerPoint. Anche in questo caso un malintenzionato può sfruttare la debolezza creando un documento che, se aperto con una versione vulnerabile di PowerPoint, esegue del codice con gli stessi privilegi dell’utente locale. Il problema, che coinvolge Office 2000/XP/2003 e Office 2004 per Mac, è determinato da una non corretta gestione, da parte di PowerPoint, di certi record non validi.
Il bollettino MS06-022 descrive una vulnerabilità nel rendering delle immagini ART (un formato usato da America Online) che può consentire l’esecuzione di codice in modalità remota. Un aggressore potrebbe sfruttare la falla, ed eventualmente prendere il pieno controllo di un sistema remoto, creando un’immagine ART maligna: tale immagine, in grado di consentire l’esecuzione di codice, può essere inserita all’interno di un sito web o di una e-mail. Il problema riguarda tutte le versioni di Windows ad esclusione della 2000 (a meno che non si sia insallato l’AOL Image Support Update). Da notare come la patch elimini semplicemente il supporto del formato ART da Windows.
Un’altra seria falla riguarda JScript (JS), un linguaggio di scripting simile a JavaScript integrato in tutte le versioni di Windows. Nel bollettino MS06-023 Microsoft spiega che un cracker potrebbe inserire all’interno di una pagina o una e-mail HTML uno script JS dannoso che, una volta eseguito, può fornirgli il completo controllo del sistema. In Windows 2003 il problema è stato valutato di rischio moderato.
Nel componente Routing and Remote Access Services (RRAS) si celano due bug, entrambi sfruttabili da remoto per eseguire del codice, che possono consentire ad un aggressore di acquisire il pieno controllo di un sistema vulnerabile. Le due falle, corrette con il bollettino MS06-025 , possono essere sfruttate solo se è attivo il servizio Connection Manager di Accesso remoto , che di default viene avviato automaticamente solo in Windows 2000: in tutte le altre versioni di Windows con kernel NT Microsoft ha classificato la falla come importante .
Il rischio che un cracker prenda il controllo del sistema da remoto esiste anche nel caso della vulnerabilità trattata nel bollettino MS06-024 e legata al modo in cui Windows Media Player gestisce le immagini PNG. Un utente malintenzionato può sfruttare tale vulnerabilità creando contenuti per Windows Media Player che potrebbero consentire l’esecuzione di codice in modalità remota se un utente visita un sito Web o apre un messaggio di posta elettronica con contenuti dannosi. Il problema è stato classificato come importante nelle versioni 7.1 e 8 (XP) del player, e critica nelle versioni 9 e 10.
Con la patch inclusa nel bollettino MS06-026 Microsoft ha stuccato un bug, l’ennesimo nel giro di sei mesi, nel motore di rendering di Windows, e in particolare nel codice che gestisce le immagini in formato WMF (Windows Metafile Format). Questa è l’unica falla del lotto ad interessare esclusivamente Windows 98/Me.
Infine, l’ultimo bollettino critico di giugno è dedicato ad un aggiornamento cumulativo per Internet Explorer che risolve 8 differenti vulnerabilità, 5 delle quali utilizzabili da un malintenzionato per eseguire del codice da remoto. Altre due possono invece essere sfruttate dai phisher per mascherare l’URL che appare nella barra degli indirizzi, ed una mettere in pericoloso la privacy degli utenti rivelando informazioni personali relative a più domini CSS. Va detto che parte di questi bug, a seconda della versione di IE e di Windows utilizzata, possono avere un livello di pericolosità più moderata.
I tre bollettini classificati da Microsoft come importanti sono l’ MS06-029 , riguardante una vulnerabilità del componente Outlook Web Access per Exchange, l’ MS06-032 , che tratta una terza falla nel servizio RSAS di Windows, e l’ MS06-030 , relativo ad una falla nel componente SMB (Server Message Block) di Windows. Le prime due possono essere utilizzate per eseguire codice da remoto, l’ultima per acquisire privilegi più elevati.
Infine si segnala il bollettino MS06-031 , di pericolosità moderata, che descrive una vulnerabilità di tipo spoofing relativa al solo Windows 2000.
Un riepilogo di tutti i nuovi bollettini di Microsoft si trova qui .
Microsoft ha inoltre rilasciato un aggiornamento cumulativo per Office 2004 per Mac , l’ 11.2.4 , e ha aggiornato il bollettino MS06-011 , che era stato descritto a marzo in questo articolo . Aggiornato anche lo Strumento di rimozione malware .