Sono sei i bollettini di sicurezza che Microsoft ha rilasciato quest’oggi nel corso del consueto “patch day” mensile: tre di essi sono indicati come “critici” mentre i restanti sono classificati come “importanti”.
Ecco una breve panoramica degli aggiornamenti rilasciati questo mese:
– Una vulnerabilità in LSASS può facilitare attacchi DoS (MS09-069). Questo aggiornamento corregge una lacuna di sicurezza scoperta nel servizio LSASS (Local Security Authority Subsystem Service) di Windows che potrebbe essere sfruttata da un aggressore inviando un pacchetto dati modificato “ad arte” durante le comunicazioni attraverso il protocollo IPsec. Il bollettino è indicato come “importante” ed interessa Windows 2000 SP4, Windows XP e Windows Server 2003.
– Alcune vulnerabilità nei servizi “Active Directory Federation” possono agevolare l’esecuzione di codice in modalità remota (MS09-070). Le falle di sicurezza sanabili mediante l’applicazione di questo aggiornamento potrebbero essere sfruttate da un utente malintenzionato che riuscisse ad inviare un pacchetto HTTP modificato verso un server web ove risultino attivati i servizi “Active Directory Federation”. La patch interessa gli utenti di Windows Server 2003 e di Windows Server 2008 (in entrambi i casi, ovviamente, devono essere stati attivati gli “Active Directory Federation Services”). Aggiornamento definito “importante”.
– Alcune vulnerabilità nell'”Internet Authentication Service” potrebbero consentire l’esecuzione di codice da remoto (MS09-071). Nel caso in cui il server “Internet Authentication Service” dovesse copiare in modo scorretto in memoria il contenuto dei messaggi ricevuti potrebbe verificarsi l’esecuzione di codice potenzialmente nocivo. I server sono interessati dal problema solamente nel caso in cui utilizzino l’autenticazione MS-CHAP v2. L’aggiornamento interessa praticamente tutte le versioni di Windows, fatta eccezione per Windows 7. Patch descritta come “critica”.
– Pacchetto di aggiornamento cumulativo per Internet Explorer (MS09-072). Questo pacchetto di aggiornamento per Internet Explorer 5.01, 6.0, 7.0 e 8.0, risolve quattro vulnerabilità di sicurezza presenti nel browser del colosso di Redmond. L’applicazione della patch è sempre caldamente consigliata, anche qualora non si utilizzi Internet Explorer per la “navigazione” in Rete. I rischi sono correlati al download ed all’esecuzione di codice e componenti nocivi visitando pagine web “maligne”. Patch “critica”.
– Una vulnerabilità in WordPad e nei convertitori di testo di Office possono agevolare l’esecuzione di codice in modalità remota (MS09-073). La vulnerabilità risolvibile attraverso l’installazione di questo aggiornamento di sicurezza potrebbe essere sfruttata, da parte di un aggressore, inducendo l’utente ad aprire un documento Word 97 “maligno” – modificato “ad arte” – utilizzando il software WordPad od i convertitori di testo di Office. In tali circostanze potrebbe verificarsi l’esecuzione di codice dannoso. La patch, indicata come “importante”, interessa gli utenti di Windows 2000 SP4, Windows XP, Windows Server 2003, Office XP SP3, Office 2003 SP3, Works 8.5 e Microsoft Office Converter Pack.
– Una vulnerabilità in Office Project potrebbe facilitare l’esecuzione di codice in modalità remota (MS09-074). Questa patch di sicurezza consente di risolvere una lacuna presente in Microsoft Office Project e che potrebbe essere sfruttata da un aggressore per eseguire codice nocivo sul sistema dell’utente allorquando egli tenti di aprire un documento “maligno”, preparato “ad hoc”. Le versioni di Project affette dal problema sono le seguenti: 2000 SP1, 2002 SP1 e 2003 SP3. Patch “critica”.
Il livello di criticità che Microsoft è solita riportare in corrispondenza di ciascun bollettino è sempre il più grave: a seconda del sistema operativo, sia esso Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows 7, il rischio derivante da una mancata applicazione della patch corrispondente può talvolta essere considerato come più contenuto.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 3.2.
Il prossimo appuntamento con il “patch day” di Microsoft è fissato per il 12 gennaio.