A differenza del mese scorso, quando Microsoft rilasciò solamente due bollettini di sicurezza (seguiti dalla pubblicazione “out-of-band“, a distanza di un paio di settimane, della patch MS10-018 per Internet Explorer), ad aprile gli aggiornamenti messi a disposizione degli utenti di Windows e degli altri software firmati dal colosso di Redmond sono molti di più: complessivamente ben undici.
I tecnici di Microsoft hanno indicato cinque bollettini come di importanza “critica”, ulteriori cinque come “importanti” mentre una sola patch va a sanare una vulnerabilità di severità più modesta.
– Alcune vulnerabilità critiche in Windows potrebbero agevolare l’esecuzione di codice nocivo da remoto (MS10-019). Questo aggiornamento consente di correggere due vulnerabilità individuate in “Windows Authenticode Verification”. Un aggressore potrebbe essere in grado di far leva sulle lacune di sicurezza modificando un file eseguibile già firmato e modificare la “signature” inserendo codice dannoso. In alternativa, può anche lavorare su un file CAB altrettanto firmato. L’esecuzione del codice nocivo può avvenire inducendo l’utente ad aprire tali file. L’aggiornamento interessa gli utenti di tutte le versioni di Windows. La patch è stata indicata come “critica”.
– Alcune vulnerabilità nel client SMB possono agevolare l’esecuzione di codice in modalità remota (MS10-020). Questa patch permette di sanare alcune falle presenti nel client SMB di Windows. Le vulnerabilità sanabili mediante l’installazione di questo aggiornamento sono particolarmente gravi perché possono essere sfruttate senza la richiesta di alcuna autenticazione. Minimo comun denominatore l’invio di pacchetti dati SMB “malformati”. Tutte le versioni del sistema operativo sono affette dal problema. Patch indicata come “critica”.
– Alcune vulnerabilità nel kernel di Windows possono favorire l’acquisizione di privilegi più elevati (MS10-021). La più grave delle falle risolte da questo bollettino può consentire l’acquisizione di privilegi utente più ampi nel caso in cui l’aggressore riesca ad eseguire un’applicazione “ad hoc” sul sistema oggetto di attacco. La patch è definita “importante” perché il malintenzionato deve necessariamente possedere credenziali di accesso valide per il sistema “bersagliato”. Tutte le versioni di Windows sono affette dal problema.
– Una vulnerabilità nel motore di scripting VBScript può facilitare l’esecuzione di codice dannoso da remoto (MS10-022). La patch risolve la lacuna di sicurezza della quale avevamo parlato ad inizio marzo. La falla è collegata all’utilizzo di codice VBScript e dei file “Windows Help”: visitando un sito web “maligno”, l’utente che dovesse premere il tasto F1 (come noto, consente di richiamare la guida in linea da qualunque applicazione Windows) potrebbe vedere eseguito, sul proprio sistema, del codice dannoso. L’invito a premere il tasto F1 potrebbe arrivare, ad esempio, attraverso l’esposizione di una finestra pop-up durante la visita di qualche sito web. La patch interessa tutte le versioni di VBScript quindi, tutte le versioni di Windows. Patch indicata come “importante”.
– Una vulnerabilità in Publisher può avere come conseguenza l’esecuzione di codice dannoso da remoto (MS10-023). L’aggiornamento di sicurezza consente di sanare una vulnerabilità di Microsoft Publisher che potrebbe divenire pericolosa allorquando l’utente tentasse di aprire documenti “maligni”. L’aggressore che riuscisse a sfruttare la falla di sicurezza, potrebbe guadagnare accesso al sistema dell’utente con i suoi stessi diritti. La patch è classificata come “importante” e sono affette dal problema tutte le versioni di Office.
– Alcune vulnerabilità in Exchange e nel server SMTP potrebbero facilitare attacchi DoS (MS10-024). Nel caso in cui un aggressore riuscisse ad inviare una risposta DNS verso un sistema vulnerabile (sono affette tutte le versioni di Windows tranne Windows Vista, Windows 7 e Windows Server 2008 for Itanium), questi potrebbe provocare un attacco Denial of Service (DoS). La patch è riportata come “importante”.
– Una vulnerabilità in Windows Media Services potrebbe causare l’esecuzione di codice in modalità remota (MS10-025). Il problema sanabile mediante l’applicazione di questa patch è presente solamente in Windows 2000 Server SP4 e potrebbe essere sfruttato da parte di un aggressore inviando al sistema, sul quale siano in esecuzione i “Media Services”, un pacchetto dati “malformato”. Patch “critica”.
– Una vulnerabilità nei codec MPEG Layer-3 può agevolare l’esecuzione di codice nocivo da remoto (MS10-026). Questo aggiornamento provvede a sanare una lacuna scoperta nei codec MPEG Layer-3 di Microsoft utilizzati in Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows 2008. Un aggressore potrebbe essere in grado di far leva sulla vulnerabilità spronando l’utente ad aprire un file AVI modificato “ad arte”. Patch “critica”.
– Una vulnerabilità presente in Windows Media Player potrebbe provocare l’esecuzione di codice dannoso in modalità remota (MS10-027). Affetto dal problema è Windows Media Player 9.0 su Windows 2000 SP4 e Windows XP. Un malintenzionato potrebbe riuscire ad eseguire codice potenzialmente nocivo sul sistema dell’utente persuadendolo a visitare, ad esempio, un sito web “maligno” ospitante un contenuto allestito per far leva sulla lacuna di sicurezza. Patch indicata come “critica”.
– Alcune vulnerabilità in Visio potrebbero facilitare l’esecuzione di codice dannoso in modalità remota (MS10-028). La patch consente di risolvere due vulnerabilità individuate nel software Microsoft Visio: esse potrebbero essere sfruttate da un aggressore per causare l’esecuzione di codice nocivo allorquando l’utente dovesse aprire un documento dannoso, preparato “ad arte”. Le versioni di Visio affette dal problema sono la 2002 SP2, la 2003 SP3, la 2007 SP1 e SP2. Patch “importante”.
– Una vulnerabilità in Windows ISATAP può favorire attacchi “spoofing” (MS10-029). Con questa patch è possibile correggere una lacuna di sicurezza presente nello stack IPv6 di Windows e che è correlata ad un controllo imperfetto, effettuato dal sistema operativo, della sorgente dei pacchetti dati. Patch di importanza moderata che riguarda Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.
Secondo ISC, le patch più critiche sono le seguenti: MS10-020 e MS10-022 perché per entrambe sono già reperibili in Rete codici exploit. Assai critica la patch MS10-019 sia in ambito client che server (per maggiori informazioni sull’analisi di ISC, è possibile fare riferimento a questa pagina).
A corollario del “patch day”, come consuetudine, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 3.6.
Il prossimo appuntamento con il “patch day” di Microsoft è fissato per martedì 11 maggio.