Redmond (USA) – Microsoft ha pubblicato sette nuovi bollettini di sicurezza, tutti classificati come “critici”, che risolvono 19 vulnerabilità di sicurezza in Windows, Internet Explorer, Office, Exchange, Cryptographic API Component Object Model (CAPICOM) e BizTalk.
Il bollettino MS07-029 sistema una falla zero-day contenuta nell’interfaccia RPC del servizio DNS di Windows 2000 Server e Windows Server 2003. La debolezza è divenuta di pubblico dominio verso la metà dello scorso aprile, e più o meno nello stesso periodo ha fatto capolino su Internet il primo worm in grado di sfruttarla . Per i dettagli sulla vulnerabilità si rimanda alla notizia pubblicata lo scorso mese.
I bug di sicurezza corretti in Office sono in tutto sette, e si trovano descritti in tre diversi bollettini. L’ MS07-023 riguarda tre falle di Excel 2000, 2002, 2003 (incluso Viewer), 2007 e 2004 per Mac, considerate di pericolosità “critica” in Office 2000 e “importanti” nelle altre edizioni della suite. In tutti e tre i casi un aggressore potrebbe sfruttarle per creare file che, quando aperti con una versione vulnerabile di Excel, eseguano del codice con gli stessi privilegi dell’utente locale.
L’ MS07-024 riguarda invece tre falle di Word 2000, 2002, 2003 (incluso Viewer), 2004 per Mac, e Works Suite 2004/2005/2006. Anche in questo caso il problema è considerato della massima gravità in Office 2000 e “importante” negli altri casi: immune ad ogni problema Word 2007. Un cracker potrebbe creare documenti malformati che, una volta aperti, causano l’esecuzione di codice maligno.
L’ultimo bollettino relativo ad Office è l’ MS07-025 , che sistema una vulnerabilità contenuta nelle versioni 2000, 2002, 2003 e 2007 di Excel, FrontPage, Publisher, in Office SharePoint Designer 2007 e in Expression Web. Il problema è dovuto all’errata gestione di un oggetto grafico malformato che, se inserito all’interno di un file maligno, può causare l’esecuzione di codice. La vulnerabilità è considerata “critica” in Office 2000 e “importante” negli altri software interessati dal problema.
Il bollettino MS07-027 , che secondo BigM “risolve diverse vulnerabilità scoperte di recente e segnalate sia pubblicamente che privatamente a Microsoft”, corregge cinque falle di Internet 5.x, 6 e 7 (inclusa la versione integrata in Windows Vista). A seconda della versione del browser e di quella di Windows, la gravità risulta più o meno grave: in particolare, Windows Server 2003 è la piattaforma ritenuta da Microsoft più difficile da “bucare”. Tutte le vulnerabilità possono essere sfruttate per eseguire del codice da remoto.
Altre quattro falle sono state sigillate da Microsoft nelle versioni 2000, 2003 e 2007 di Exchange e, tranne una, considerata “critica”, sono state classificate “importanti”. In due casi i problemi potrebbero essere sfruttati per lanciare attacchi di denial of service, in una caso per intercettare informazioni personali e nell’ultimo caso per eseguire del codice da remoto.
L’ultima vulnerabilità “critica”, descritta nel bollettino MS07-028 , riguarda infine CAPICOM, componente ridistribuibile GDI+ di Microsoft Platform SDK CAPICOM e BizTalk Server 2004.
Microsoft ha pubblicato un riepilogo delle vulnerabilità qui , mentre l’Internet Storm Center fornisce la sua abituale tabella riassuntiva qui .
Microsoft ha inoltre reso disponibile un nuovo update per Windows Vista relativo al noto problema di compatibilità tra la funzione rimozione sicura dell’hardware di Vista e iPod. L’update, che Nick White di Microsoft qualifica come “definitivo” ( un primo aggiornamento era già stato rilasciato a fine marzo), può essere scaricato subito da qui o, a partire dal 22 maggio, attraverso Windows Update.