Sono otto le patch che Microsoft ha appena reso disponibili, cinque delle quali classificate come di importanza “critica”.
– Una vulnerabilità in Microsoft Project potrebbe consentire l’esecuzione di codice dannoso in modalità remota (MS08-018). Questo aggiornamento di sicurezza, indicato come critico, interessa esclusivamente gli utenti di Project, software di “project management” che aiuta il professionista nella pianificazione, nell’assegnazione delle risorse, nella verifica del rispetto dei tempi, nella gestione dei budget e nell’analisi dei carichi di lavoro. Le versioni affette dalla vulnerabilità sono la 2000, la 2002 e la 2003.
Aprendo un file in formato Project, opportunamente sviluppato da un aggressore per sfruttare la falla di sicurezza, l’utente potrebbe vedere eseguito, sul proprio sistema, codice nocivo.
– Vulnerabilità in Microsoft Visio potrebbero agevolare l’esecuzione di codice dannoso in modalità remota (MS08-019). Le lacune di sicurezza sanabili mediante l’installazione di questo aggiornamento sono indicate da Microsoft come “critiche” e potrebbero essere sfruttate da un malintenzionato invitando l’utente ad aprire un file Visio “maligno”.
– Una vulnerabilità presente nel client DNS di Windows può permettere attività di spoofing (MS08-020). Con il termine “spoofing” si definiscono i tentativi di attacco con cui, attraverso una pagina web appositamente congeniata, si può far credere all’utente di star visitando il sito desiderato quando, in realtà, sta navigando all’interno di pagine web pericolose. Affetto dal problema di sicurezza è il client DNS integrato in tutte le versioni di Windows, fatta eccezione per Vista SP1 e Windows Server 2008. La patch è riportata da Microsoft come “importante”.
– Alcune vulnerabilità in GDI potrebbero facilitare l’esecuzione di codice nocivo da remoto (MS08-021). Questa patch, classificata come “critica”, interessa tutte le versioni di Windows senza alcuna eccezione (non sono esclusi, ad esempio, nemmeno Windows Vista e Windows Server 2008). Le lacune, sanabili mediante l’installazione dell’aggiornamento, potrebbero essere sfruttate, da parte di malintenzionati, con l’intento di eseguire codice dannoso sulla macchina dell’utente. E ciò semplicemente inducendo l’utente ad aprire file EMF o WMF preparati “ad hoc” per far leva sulle vulnerabilità.
– Vulnerabilità nei motori di scripting di VBScript e JScript potrebbero consentire l’esecuzione di codice da remoto (MS08-022). La patch – “critica” – permette di risolvere una vulnerabilità presente in tutte le versioni di Windows, fatta eccezione per Windows Vista e Windows Server 2008, che potrebbe portare all’esecuzione di codice dannoso in modalità remota. L’aggressore potrebbe far leva sulla lacuna di sicurezza spingendo l’utente a visitare una pagina web “maligna”, opportunamente prodotta per causare danni.
– Impostazione del “kill bit” per un controllo ActiveX (MS08-023). Applicando questo aggiornamento, indicato come “critico”, viene impedita l’esecuzione dell’ActiveX di Yahoo! Music Jukebox da parte di Internet Explorer (tutte le versioni di Windows).
Il “kill bit” che viene impostato protegge l’utente che abbia installato il controllo ActiveX in questione da vulnerabilità sfruttabili da remoto, semplicemente visitando una pagina web “maligna”.
Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo.
– Aggiornamento cumulativo per la sicurezza di Internet Explorer (MS08-024). Si tratta di un pacchetto, riportato come “critico”, che mette una pezza a tutta una serie di vulnerabilità scoperte in Internet Explorer 5.01, 6.0 e 7.0. L’applicazione dell’aggiornamento riveste un’importanza cruciale se si naviga con il browser di Microsoft.
– Una vulnerabilità nel kernel di Windows può agevolare l’acquisizione di privilegi utente più elevati (MS08-025). La lacuna di sicurezza risolvibile attraverso l’installazione di questo aggiornamento, classificato come “importante”, può essere sfruttata inducendo il kernel del sistema operativo a validare dei dati passati dall’utente. Per poter far leva sulla vulnerabilità, l’aggressore deve comunque possedere delle credenziali di login valide in modo tale da essere in grado di accedere al sistema. La falla non è sfruttabile da remoto pur affliggendo tutte le versioni di Windows, comprese le più recenti.
L’Internet Storm Center di SANS, nella sua analisi mensile, considera tutti gli aggiornamenti come “critici” in ambito client mentre su server vengono riportati come tali solo MS08-020 e MS08-025.
Per il momento, nessuna delle vulnerabilità sanabili mediante l’applicazione delle patch di questo mese è sfruttata per condurre attacchi. Sul web è diffuso il codice exploit PoC (Proof of Concept) soltanto per la falla risolta dalla patch MS08-023.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 1.40.