Dopo le 25 patch di aprile, questo mese gli amministratori di sistemi Windows possono tirare il fiato. Nella serata di ieri Microsoft ha infatti pubblicato due soli bollettini di sicurezza, ciascuno relativo ad un’unica vulnerabilità. In entrambi i casi si tratta di debolezze classificate con il massimo grado di severità, ma il relativo exploitability index è pari a 2: ciò significa che l’arrivo di un exploit efficace è alquanto improbabile, per lo meno nel breve termine.
Il primo bollettino, l’ MS10-030 , corregge una falla relativa a Outlook Express, Windows Mail e Windows Live Mail. Tutte le versioni di Windows attualmente supportate sono interessate dal problema, ma Microsoft sottolinea come Windows 7 e Windows Server 2008 R2 – dove il bug è considerato di rischio importante anziché critico – non contengano un client email predefinito. “L’aggiornamento viene comunque offerto anche per Windows 7, poiché il componente vulnerabile è una DLL di sistema ( inetcomm.dll ), anche se il vettore di attacco è rappresentato solo da Windows Mail o Windows Live Mail, se usati” puntualizza Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, nel suo tradizionale post sull’analisi di rischio dei nuovi bollettini.
Sul blog del Microsoft Security Response Center (MSRC) si spiega che per trarre vantaggio da questa vulnerabilità, un aggressore dovrebbe prendere il controllo di un mailserver o farne girare uno proprio. C’è anche la possibilità, ma assai più remota, che un cracker riesca ad alterare il flusso di dati tra utente e mailserver utilizzando un cosiddetto attacco man in the middle .
Microsoft ha poi aggiunto che le versioni di Windows più recenti, incluse Vista e Seven, includono un layer di protezione aggiuntivo che mitiga ulteriormente la pericolosità di questa falla.
Il bollettino MS10-031 risolve invece una vulnerabilità in Microsoft Visual Basic for Applications (VBA) relativa alla gestione dei controlli ActiveX inglobati in un documento. Microsoft ha classificato il problema come critical per VBA SDK 6.0 e le applicazioni di terze parti che utilizzano VBA e come important per Office XP, Office 2003 e Office 2007 (dove la falla, per essere sfruttata, richiede l’interazione dell’utente). Office 2010 è immune al problema.
“Anche se avete installato gli aggiornamenti raccomandati relativi ai prodotti Microsoft interessati, potreste aver bisogno di aggiornare anche altre versioni del VBA runtime (VBE6.DLL) presenti sul vostro sistema perché installati da applicazioni di terze parti” avvisa Intini. “Vi raccomando di leggere le FAQ del bollettino per individuare il modo più opportuno per procedere all’aggiornamento completo”.
Come preannunciato la scorsa settimana, i bollettini di maggio non correggono ancora la vulnerabilità di tipo cross-site scripting recentemente segnalata da BigM con l’ advisory 983438 : la relativa patch sarà probabilmente inclusa nei bollettini di giugno.
Alessandro Del Rosso