Redmond (USA) – Sono state senza dubbio settimane di fuoco quelle appena trascorse dal team di sicurezza di Microsoft . Sono infatti 26 le patch distribuite in questi giorni dal big di Redmond, un numero a cui va aggiunto il recente fix per il noto bug VML di Internet Explorer.
Le nuove vulnerabilità sono esposte in 10 bollettini di sicurezza , cinque dei quali relativi a Windows, quattro ad Office ed uno a MS.NET Framework. Le falle classificate come “critiche”, dunque utilizzabili per eseguire del codice da remoto, sono in tutto 15, e la maggior parte interessano Office.
“Si tratta di un numero record di vulnerabilità per cui è stata fornita una patch in un solo mese”, ha commentato Monty Ijzerman, senior manager del Global Threat Group di McAfee Avert Labs . “I cracker sono sempre più focalizzati nello sfruttare le vulnerabilità delle applicazioni desktop piuttosto che quelle relative all’infrastruttura di rete”, ha affermato Mauro Toson, presales manager di Symantec Italia . “La quantità di vulnerabilità rilevate in questo mese conferma questo trend, perciò gli utenti dovrebbero considerare l’installazione delle patch come una componente critica di una strategia di sicurezza efficace”.
I due problemi più seri di Windows riguardano la shell ( MS06-057 ) e XML Core Services ( MS06-061 ). Il primo è noto fin dallo scorso luglio, ma la sua reale gravità è divenuta evidente solo la scorsa settimana, quando alcuni siti web hanno cominciato a sfruttare la debolezza per diffondere spyware e trojan. La falla, che interessa sia Internet Explorer che Esplora risorse, è causata da un buffer overflow del controllo ActiveX WebViewFolderIcon incluso in Windows 2000, XP e 2003: in quest’ultima piattaforma Microsoft considera la pericolosità del baco di livello moderato.
La seconda falla critica di Windows è invece causata da un buffer overflow nell’Extensible Stylesheet Language Transformations (XSLT), un componente alla base di XML Core Services e XML Parser. Anche in questo caso il problema affligge Windows 2000, XP e 2003, ed è considerato della massima gravità su tutte le piattaforme.
Lo stesso bollettino relativo a XML Core Services descrive anche una seconda vulnerabilità, questa volta con classe di rischio “importante” (“bassa” nel caso di Windows Server 2003), che può essere sfruttata da siti web maligni per intercettare informazioni personali che l’utente ha inserito in altri siti.
I bollettini MS06-058 , MS06-059 , MS06-060 forniscono rispettivamente i dettagli su alcune falle in PowerPoint, Excel e Word che, a seconda dei casi e della versione di Office utilizzata, possono consentire ad un malintenzionato di prendere il controllo di un computer remoto. Di simile gravità i bug descritti nel bollettino MS06-062 , relativi ad alcuni componenti generici di Office ed a Publisher.
L’Internet Storm Center ( ISC ) avvisa che per molte delle debolezze di Office esistono già proof of concept ed exlpoit pubblici : per tale ragione invita gli utenti della famosa suite per l’ufficio a prestare molta cautela quando aprono documenti provenienti da fonti sconosciute.
Infine si segnalano i bollettini: MS06-063 , che descrive una falla “importante” nel servizio Server sfruttabile per attacchi di denial of service (DoS); MS06-056 , relativo ad una vulnerabilità di rischio moderato in ASP.NET che potrebbe consentire un malintenzionato di inetrcettare informazioni personali; MS06-065 , che risolve un buffer overflow di rischio moderato in Windows Packager; e MS06-064 , riguardante diverse vulnerabilità di basso rischio relative all’implementazione TCP/IP di Windows, la più seria delle quali potrebbe consentire un attacco DoS.
Una tabella riassuntiva dei bollettini di sicurezza e del loro livello di gravità è stata pubblicata qui dall’ISC.
Microsoft ha avvisato i propri utenti che, per “problemi di rete relativi alla piattaforma Microsoft Update”, ci sono stati dei ritardi nel processo di distribuzione automatica delle patch . Queste possono comunque essere scaricate manualmente dai link forniti all’interno dei bollettini.
Ti potrebbe interessare
12 ott 2006