Seguendo il suo consueto ciclo mensile dei rilasci, la scorsa notte Microsoft ha pubblicato sei bollettini di sicurezza che, nel complesso, correggono 15 vulnerabilità in Windows, Windows Server e Office.
Le falle considerate più urgenti, sia in ambito client che server, sono quelle risolte dai bollettini MS09-065 e MS09-063 . Nel primo caso i bug sono tre, tutti contenuti nel kernel di Windows e tutti potenzialmente sfruttabili da un aggressore per eseguire del codice a sua scelta in modalità remota.
Delle tre, la vulnerabilità più pericolosa è legata alla gestione dei font Embedded OpenType (EOT): un malintenzionato potrebbe far leva su questa debolezza allestendo una pagina web che, una volta aperta dall’utente, innesca l’esecuzione di codice maligno. A rendere particolarmente insidiosa questa vulnerabilità è il fatto che il font malformato potrebbe essere iniettato da un aggressore anche in siti che, pur non essendo direttamente sotto il suo controllo, ospitano contenuti uploadati dagli utenti. Oltre a ciò, i dettagli della falla sono di pubblico dominio ormai da settimane. Il problema interessa tutte le versioni ancora supportate di Windows ad eccezione delle due più recenti: Windows 7 e Windows Server 2008 R2.
Il secondo bollettino più urgente, l’MS09-063, interessa esclusivamente Windows Vista e Windows Server 2008, e potrebbe impensierire soprattutto le aziende. Il problema è relativo alla API Web Services on Devices (WSDAPI), un framework pensato per semplificare la ricerca e il browsing di dispositivi collegati allo stesso network (come PDA, stampanti, fotocamere ecc.). Un malintenzionato connesso alla stessa subnet della vittima potrebbe inviare verso il PC vulnerabile un pacchetto malformato che causa il crash del servizio WSDAPI (in ascolto sulle porte TCP/5357-5358 e UDP/3702) ed esegue del codice a sua scelta.
Il terzo bollettino classificato da Microsoft con il massimo grado di rischio è l’ MS09-64 , che come l’ MS09-066 si rivolge esclusivamente alle poche aziende che ancora utilizzano Windows 2000. Il primo bollettino corregge una falla nel License Logging Server, un servizio attivo di default, e potrebbe essere sfruttata per eseguire del codice a distanza. Il secondo bollettino riguarda invece un bug in Active Directory che, nel peggiore dei casi, potrebbe essere utilizzato per lanciare attacchi denial of service.
Gli ultimi due bollettini, l’ MS09-067 e MS09-068 , sono entrambi classificati “importanti” e descrivono rispettivamente alcuni bug in Office Excel e Office Word (tutte le versioni attualmente supportate): alcuni di questi bachi potrebbero essere sfruttati da un cracker per forgiare documenti Word o Excel che, una volta aperti dall’utente, eseguono del codice dannoso.
Il sommario dei bollettini di novembre è disponibile qui , mentre in questa pagina si trovano le consuete tabelle sinottiche stilate dal Microsoft Security Response Center.
Alessandro Del Rosso