Redmond (USA) – Dopo aver corretto in tutta fretta la pericolosa falla legata alle immagini WMF, ieri Microsoft ha pubblicato due nuovi bollettini di sicurezza che sistemano due falle “critiche” in Windows, Outlook e Exchange.
Il problema di sicurezza più serio è quello descritto nel bollettino MS06-003 , riguardante una vulnerabilità nel modo in cui Outlook ed Exchange decodificano gli allegati di posta elettronica in formato TNEF (Transport Neutral Encapsulation Format), una specifica proprietaria che consente di inviare e ricevere messaggi e-mail in formato RTF .
La falla nel codice di decodifica del TNEF può rendere vulnerabili ad attacchi remoti sia i computer client che i server: nel primo caso il vettore d’attacco è rappresentato da Outlook 2000, 2002 e 2003 e dai relativi MultiLanguage Pack; nel secondo caso è dato da Exchange 5, 5.5 e 2000. L’ultima versione di Exchange, la 2003, è invece immune dal problema.
“Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando un messaggio TNEF appositamente predisposto in grado di consentire l’esecuzione di codice in modalità remota quando viene aperto un messaggio e-mail dannoso, quando ne viene visualizzata l’anteprima oppure quando il messaggio viene elaborato dal servizio Archivio informazioni di Microsoft Exchange”, ha spiegato Microsoft nel proprio bollettino. “Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato”.
Mentre nel caso dei client l’attacco necessita di una minima interazione dell’utente, nel caso del server di posta Exchange l’eventuale codice dannoso viene eseguito automaticamente: ciò potrebbe rendere questa vulnerabilità particolarmente appetibile per i creatori di worm. E’ per tale ragione che Microsoft e la comunità di esperti di sicurezza raccomandano alle aziende di applicare quanto prima la patch o, in alternativa, di filtrare gli allegati denominati Winmail.dat (contenenti le informazioni TNEF relative alla formattazione del testo).
Sebbene per Exchange 5.x il periodo di supporto gratuito sia già scaduto, Microsoft ha deciso di fare uno strappo alla regola e rendere la patch liberamente disponibile.
Il bollettino MS06-002 tratta invece una vulnerabilità nel modo in cui Windows decomprime certi tipi di font embedded contenuti nelle pagine web.
“Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando un carattere Web embedded dannoso in grado di consentire l’esecuzione di codice in modalità remota se un utente visita un sito Web dannoso o visualizza un messaggio e-mail appositamente predisposto”, ha spiegato Microsoft. “Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato”.
Questa debolezza riguarda tutte le versioni di Windows, dalla 98 alle 2003.