Questo mese, nel corso del giorno vocato al rilascio di aggiornamenti di sicurezza, Microsoft ha reso disponibili sette nuove patch che consentono di risolvere un totale di 11 vulnerabilità, presenti nel sistema operativo ed in alcuni dei software del colosso di Redmond.
Dei sette bollettini, tre riguardano altrettante vulnerabilità circa le quali, nelle scorse settimane, sono stati resi noti pubblicamente, da parte di terzi, i dettagli tecnici (una patch corregge il problema relativo all’errata gestione dei file in formato ASX di Windows Media Player in modo da scongiurare l’esecuzione di codice maligno).
Le vulnerabilità più critiche lato client sono risolvibili mediante l’applicazione delle patch MS06-072 (aggiornamento cumulativo per Internet Explorer) e MS06-078 (Media Format).
La vulnerabilità più pericolosa a livello di rete, può essere corretta attraverso l’installazione della patch MS06-074 (SNMP):
– MS06-072 Patch cumulativa per Internet Explorer. Risolve quattro vulnerabilità presenti in Internet Explorer 5.01 e 6.0 che riguardano la gestione di script e cartelle. Un aggressore remoto potrebbe sfruttare le varie vulnerabilità spingendo l’utente-vittima a visitare un sito web “maligno” contenente il codice dannoso. La patch è classificata come “critica”.
– MS06-073 Una vulnerabilità in Visual Studio 2005 potrebbe permette l’esecuzione di codice da remoto. Questo aggiornamento di sicurezza corregge una falla “zero-day” scoperta nell’ActiveX “WMI Object Broker” di Visual Studio 2005 che potrebbe agevolare l’esecuzione di codice potenzialmente nocivo all’interno dell’account dell’utente correntemente loggato in Windows. La patch è classificata come “critica” (il codice exploit è stato pubblicamente reso disponibile prima di darne notifica a Microsoft, ponendo così a rischio migliaia di utenti). Per verificare su quali sistemi è installato il controllo ActiveX vulnerabile, eEye Research suggerisce di cercare la presenza della chiave HKEY_CLASSES_ROOTCLSID{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
all’interno del registro di Windows.
– MS06-074 Una vulnerabilità in SNMP può consentire l’esecuzione di codice in modalità remota. La patch risolve una vulnerabilità presente nel servizio SNMP di Windows. Dato che in questo caso non è richiesta l’interazione dell’utente per poter essere sfruttata da parte di malintenzionati, la falla di sicurezza viene considerata come la più pericolosa di questo mese.
SNMP è un protocollo che opera al livello 7 del modello OSI: esso consente la gestione e la supervisione di apparati collegati in una rete. Tra i “fattori attenuanti”, bisogna sottolineare che il servizio SNMP non è abilitato di default in Windows. La patch è catalogata da Microsoft come “importante” e riguarda i sistemi Windows 2000, XP, Server 2003.
– MS06-075 Una vulnerabilità in Windows può consentire l’acquisizione di privilegi più elevati. Un utente malintenzionato, creando un apposito file “ad hoc” può essere in grado di acquisire privilegi più elevati rispetto a quelli garanti dall’account in uso avendo potenzialmete l’opportunità di prendere il completo controllo della macchina. Ciò può avvenire mediante la manipolazione dei file “manifest” associati alle varie applicazioni installate. Un file “manifest” è un file in formato XML che contiene metadati ovvero informazioni riguardanti l’applicazione, alle varie dipendenze della stessa, ai tipi utilizzati e così via. Il “manifest” può essere presente nella stessa cartella dell’applicazione cui si riferisce oppure inserito direttamente all’interno del suo eseguibile.
La vulnerabilità non può essere sfruttata da remoto se non attraverso una sessione RDP (Remote Desktop Protocol) autenticata. La patch riguarda gli utenti di Windows XP SP2 e Windows Server 2003 che non abbiano ancora installato il Service Pack 1; è considerata come di livello “importante”.
– MS06-076 Aggiornamento cumulativo per la protezione di Outlook Express. Questa patch permette di “mettere una pezza” ad una vulnerabilità presente nel client di posta elettronica Outlook Express (versioni 5.5 e 6) che può consentire, ad un aggressore, di eseguire codice nocivo con i privilegi di sistema facenti capo all’utente correntemente loggato in Windows. Ciò può accadere nel momento in cui l’utente-vittima dovesse aprire un file con estensione .WAB (rubrica di Outlook Express) proposto, per esempio, come allegato ad un messaggio di posta elettronica.
La vulnerabilità è classificata da Microsoft come “importante”.
– MS06-077 Una vulnerabilità nel “Servizio di installazione remota” (“Remote Installation Service”; RIS) potrebbe consentire l’esecuzione di codice in modalità remota. Nel caso di sistemi sui quali la patch non venga installata, la falla di sicurezza può essere sfruttata da remoto senza l’interazione dell’utente. L’aggressore, tuttavia, dovrebbe essere in grado di accedere al servizio RIS. La pericolosità della vulnerabilità (che coinvolge solo sistemi Windows 2000 e solo qualora il servizio sia attivato) è indicata come “importante”. Il servizio di installazione remota, comunque, non è abilitato per impostazione predefinita: i rischi sono quindi ridotti ad un numero molto più ristretto di sistemi.
– MS06-078 Una vulnerabilità in Windows Media Format può consentire l’esecuzione di codice in modalità remota. La patch permette di risolvere definitivamente due vulnerabilità collegate con il riproduttore multimediale di Microsoft. L’una riguarda la gestione dei file in formato ASF; l’altra di quelli in formato ASX (la più recente). Un aggressore remoto può essere in grado di eseguire codice nocivo sul personal computer dell’utente semplicemente invitandolo all’apertura di file ASF/ASX opportunamente modificati per far leva sulla falla di sicurezza. Sono interessate dal problema tutte le versioni di Windows fatta eccezione per i sistemi ove sia stato installato Windows Media Player 11, Windows Vista o Windows Server 2003 Itanium (siano questi ultimi provvisti o meno del Service Pack 1).
Oltre alle sette patch “inedite”, Microsoft ha pubblicato quest’oggi anche una revisione del bollettino MS06-059 (Vulnerabilità in Microsoft Excel possono consentire l’esecuzione di codice in modalità remota). La patch è stata ripubblicata poiché, in alcuni scenari, questa non veniva correttamente installata (sebbene Windows Update la indicasse come applicata, ciò poteva non rispondere al vero): la nuova versione della patch corregge definitivamente il problema.
Questo aggiornamento di sicurezza, che riguarda tutti gli utenti di Office 2000, Office XP, Office 2003, Office 2004 per Mac, Office v.X per Mac e Works Suite, è classificato come “critico”.
Come di consueto, infine, è stata rilasciata una versione aggiornata (la 1.23) dello “Strumento di rimozione malware”, prelevabile facendo riferimento a questa pagina.