Redmond (USA) – Con i bollettini di sicurezza di febbraio, pubblicati come di consueto il secondo martedì del mese, Microsoft ha messo una pezza a tutte le falle zero-day di Office che sono state scoperte negli ultimi mesi. Oltre a queste, BigM ha corretto un’altra dozzina di vulnerabilità in Windows, Internet Explorer e MDAC (Microsoft Data Access Components).
Dei bug di Office , quasi tutti valutati della massima pericolosità, sei riguardano Word, uno PowerPoint ed un altro Excel. Alcune di queste vulnerabilità sono state sfruttate dai cracker prima ancora che il problema divenisse di pubblico dominio, e generalmente consentono ad un malintenzionato di eseguire del codice celato all’interno di un documento maligno.
“Oggi Microsoft ha rilasciato patch per sei vulnerabilità utilizzate in recenti attacchi zero-day mirati”, ha affermato Dave Marcus, security research and communications manager di McAfee Avert Labs . “Questo continua a essere il trend seguito dagli autori di malware, che preferiscono colpire applicazioni e servizi di business Microsoft ampiamente diffusi. Gli autori di malware continuano a trovare vulnerabilità sconosciute o per cui non è disponibile una patch in applicazioni e servizi molto diffusi per poi utilizzarli in attacchi zero-day, mettendo a rischio sia le aziende che i singoli consumatori”.
Va evidenziato come Microsoft abbia classificato tutte le debolezze di Office di livello “critico” in Office 2000 e di livello “importante” in Office 2002/2003/2004. Office 2007 non è invece interessato da alcuno di questi problemi.
Microsoft ha poi rilasciato un aggiornamento cumulativo per Internet Explorer 5.01 e 6.0 che risolve tre nuove falle di sicurezza, di cui due interessano anche IE7.
Gli altri bollettini “critici” riguardano vulnerabilità nel controllo ActiveX della Guida HTML di Windows, in un ActiveX di MDAC, e nel modulo Microsoft Malware Protection Engine di Windows Live OneCare, MS Antigen, Windows Defender e MS Forefron Securiy.
I sei bollettini classificati come “importanti” risolvono invece problemi di sicurezza nello Step-by-Step Interactive Training di Windows 2000/XP/2003, nella shell di Windows XP/2003, nel servizio acquisizione immagini di Windows XP SP2, nella finestra di dialogo OLE di Windows 2000/XP/2003, nella Microsoft Foundataion Class (MFC) integrata in Windows e Visual Studio.NET 2002/2003, e nel componente MS RichEdit integrato in Windows, Office e diversi altri prodotti elencati nel bollettino MS07-013 .
Da sottolineare come nessuno dei problemi succitati colpisca Windows Vista . Ciò non significa, come fanno notare alcuni esperti, che Vista non contenga alcuno dei bug presenti in XP e 2003: semplicemente, i nuovi meccanismi di protezione implementati da Microsoft impediscono ai cracker di sfruttare queste vulnerabilità per eseguire del codice o mandare in crash il sistema.
Un riepilogo in lingua italiana dei bollettini di febbraio si trova qui , mentre una tabella riassuntiva delle patch e dei relativi gradi di rischio è stata pubblicata qui da SANS Institute.
Da segnalare come all’inizio della settimana un hacker di nome Joanna Rutkowska ha annunciato la scoperta di “una gravissima debolezza” nel meccanismo di protezione User Account Control (UAC) di Windows Vista. Secondo quanto riportato in questo post , l’UAC parte dal presupposto che tutti i programmi di setup delle applicazioni, ovvero gli installer, debbano girare obbligatoriamente con i privilegi di amministrazione. Questo, secondo Rutkowska, significa che anche l’installer di un piccolo giochino freeware può caricare driver a livello del kernel. Microsoft ha confermato che il rischio esiste, ma che si tratta d una precisa scelta di progetto per “bilanciare la sicurezza con la facilità d’uso”.
Negli scorsi giorni il big di Redmond ha rilasciato anche un nuovo e a lungo promesso extra per Windows Vista Ultimate, DreamScene , e una versione ai minimi termini del MS.NET Framework.
DreamScene , scaricabile gratuitamente da tutti i possessori di Windows Vista Ultimate, è una tecnologia che consente di mettere come sfondo del proprio desktop un video o un’animazione. Insieme al proprio tool, Microsoft fornisce già alcuni sfondi video di esempio, ma l’utente può scaricarne/acquistarne di nuovi oppure importare propri filmati in formato MPEG o Windows Media Video (WMV). Perché lo sfondo di Vista possa animarsi è però necessario disporre di una scheda grafica che supporti l’interfaccia Windows Aero.
Microsoft ha detto che la propria tecnologia salvaguarda la durata delle batterie dei notebook mettendo automaticamente in pausa i video quando il sistema è scollegato dalla linea elettrica. DreamScene può essere scaricato da Microsoft Update .
In occasione della conferenza Embedded World 2007 di Norimberga, Microsoft ha svelato MS.NET Micro Framework , una versione del proprio software development kit (SDK) dedicato ai sistemi embedded più piccoli, come sistemi per l’automazione domestici, sensori industriali, monitor sanitari e display. Ciò distingue questo SDK dalla versione Compact , studiata invece per dispositivi dotati di maggiori risorse di sistema come computer handheld e smartphone.
MS.NET Micro Framework permette agli sviluppatori di applicazioni embedded di utilizzare il linguaggio C# e sfruttare il Common Intermediate Language (or MSIL) per far girare le proprie applicazioni sui dispositivi che utilizzano i processori ARM7 e ARM9. L’SDK fornisce anche numerose librerie, emulatori hardware, debugger grafici e integrazione con Visual Studio.
Il framework può essere scaricato gratuitamente da qui , mentre una delle risorse informative più esaurienti è robmiles.com .
Martedì Microsoft ha anche pubblicato un comunicato in risposta a quelle indiscrezioni che vorrebbero l’uscita del successore di Windows Vista nel 2009. Pur confermando che il proprio team è già al lavoro sul prossimo Windows, BigM ha bollato le voci come “speculazioni” ed ha affermato che non è ancora sua intenzione fornire informazioni ufficiali sul progetto. È curioso notare come le speculazioni a cui si riferisce BigM siano in realtà dichiarazioni rilasciate da uno dei suoi stessi dirigenti, il corporate vice president of development Ben Fathi.