Da dove cominciare? È questa la domanda che moltissimi amministratori di sistema si staranno ponendo di fronte all’eccezionale carico di patch appena riversato da Microsoft sugli utenti di Windows. Un carico di aggiornamenti che non trova eguali nella storia del big di Redmond: si parla di 13 bollettini di sicurezza che correggono, nel complesso, ben 34 vulnerabilità.
I bollettini di sicurezza di questo mese stabiliscono un altro primato negativo: per almeno sette delle vulnerabilità corrette esistono uno o più exploit pubblici, in taluni casi già utilizzati dai cracker per lanciare attacchi o forgiare malware. Tra queste vulnerabilità vi sono quelle ormai note relative al protocollo di rete SMBv2 (bollettino MS09-050 ) e al servizio FTP di Internet Information Service ( MS09-053 ), e si è aggiunta proprio nelle scorse ore la falla descritta nel bollettino MS09-051 relativa al componente Windows Media Runtime: tale debolezza può consentire ad un aggressore di eseguire del codice a sua scelta inducendo un utente ad aprire un file audio o video. Questo bug è stato classificato della massima pericolosità per ogni versione di Windows interessata dal problema (sono immuni solo le due più recenti versioni, Windows 7 e Windows Server 2008 R2).
Un altro bollettino a cui gli esperti danno massima priorità è l’ MS09-062 , che sistema otto differenti vulnerabilità nella GDI+ (Graphics Device Interface) di Windows. Questo componente, considerato un retaggio del passato, si trova integrato in moltissimi prodotti Microsoft, inclusi Windows XP, Vista, Server 2003, Server 2008, IE, MS.NET Framework, e tutte le versioni ancora supportate di Office, SQL Server, Visual Studio e Forefront Client Security.
“Il numero di prodotti interessati da queste vulnerabilità è immenso – ha commentato Jason Miller, security and data team manager di Shavlik Technologies – Il componente GDI è praticamente ovunque, ed è in giro ormai da un bel po’ di tempo”.
Sotto i riflettori anche le due vulnerabilità descritte nel bollettino MS09-056 e relative all’interfaccia di programmazione CryptoAPI di Windows. Sebbene tali debolezze non siano state classificate “critiche”, ma solo “importanti”, interessano tutti gli utenti di Internet Explorer e delle versioni Windows di Google Chrome e Apple Safari.
Come dimostrato nel recente caso che ha visto protagonista PayPal, i due bug possono essere sfruttati da un malintenzionato per forgiare un certificato SSL fasullo e, di conseguenza, portare a compimento vari attacchi basati sulla falsificazione dell’identità digitale di un utente: ad esempio, il dirottamento di connessioni Internet cifrate con il protocollo SSL, la contraffazione della firma digitale nelle email o, ancora, lo spoofing di un sistema di autenticazione basato sui certificati digitali.
Va detto che per arginare il problema Apple si è mossa con largo anticipo, poi seguita anche da Google, filtrando nel proprio browser la sequenza di caratteri con cui era possibile innescare la falla. Ora BigM ha sistemato il problema a monte, patchando direttamente l’API incriminata.
Rimangono da citare il bollettino MS09-051 , che descrive una vulnerabilità in Windows Media Player sfruttabile mediante file multimediali in formato Windows Media; l’ MS09-054 , che contiene un update cumulativo per IE considerato della massima pericolosità per tutte le versioni di Windows, Seven incluso; l’ MS09-055 , che raccoglie un certo numero di kill bit vecchi e nuovi relativi a controlli ActiveX insicuri; l’ MS09-057 , che corregge un bug sfruttabile a distanza nel servizio di indicizzazione di Windows; l’ MS09-060 , relativo all’ ormai vecchia conoscenza Active Template Library (ATL), che in questo caso mette a rischio gli utenti di Office; l’ MS09-061 , il quale risolve tre vulnerabilità sfruttabili in modalità remota nel MS.NET Common Language Runtime; l’ MS09-058 , riguardante una vulnerabilità del kernel di Windows 2000/2003/2008/XP/Vista sfruttabile per elevare i propri privilegi; e l’ MS09-059 , il quale risolve una debolezza nel Local Security Authority Subsystem Service potenzialmente sfruttabile, in tutte le versioni ancora supportate di Windows, per lanciare attacchi di denial of service.
Come ormai tradizione, per aiutare gli amministratori di sicurezza a stilare un elenco delle patch prioritarie, sul blog del Microsoft Security Response Center sono state pubblicate due tabelle sinottiche : una generale, l’altra specifica sul severity ed exploitability index. Un’altra tabella che aiuta a valutare a colpo d’occhio le vulnerabilità più importanti, distinguendo il livello di pericolosità tra sistemi client e server, è quella pubblicata qui dall’Internet Storm Center.
Il mega aggiornamento di Adobe
Un pesante fardello di patch, in tutto 29, è stato sganciato ieri anche da Adobe. Il mega aggiornamento riguarda Adobe Reader e Acrobat, e risolve bug già sfruttati o potenzialmente sfruttabili dai cracker per creare file PDF maligni, capaci di eseguire del codice dannoso.
Tra le falle corrette dall’update vi sono quelle descritte da Adobe in un recente advisory di sicurezza e già sfruttate da alcuni malware.
Adobe raccomanda ai propri utenti di installare non appena possibile le più recenti versioni di Reader e Acrobat, la 9.2 e la 8.1.7. L’azienda ha altresì rilasciato ad un ristretto numero di tester una nuova tecnologia di aggiornamento che, secondo Adobe, rende il processo di notifica, download e applicazione delle patch più semplice, efficiente e puntuale.
Alessandro Del Rosso