In occasione del “patch day” di Novembre, Microsoft ha fatto coincidere il rilascio di sei nuovi aggiornamenti di sicurezza con la distribuzione della versione finale, in italiano, di Internet Explorer 7.
Per quanto riguarda le patch, cinque sono considerate di “critiche” mentre una è classificata come “importante”:
– MS06-066 – Vulnerabilità nel servizio client NetWare. E’ l’unica patch che questo mese viene classificata con il livello di criticità “importante” mentre la mancanza di quelle successive è indicata come altamente critica. Non interessa gli utenti di Windows XP Home, sistema operativo che non integra il servizio client NetWare. La mancata applicazione può essere sfruttata da remoto da parte di un aggressore per eseguire codice nocivo. Il servizio non è però attivo di default, cosa che riduce attacchi di massa. Destinata ai sistemi Windows 2000 SP4, Windows XP SP2, Windows Server 2003.
– MS06-067 – Aggiornamento cumulativo per Internet Explorer. Si tratta di un pacchetto di aggiornamento che integra le patch risolutive per tre differenti vulnerabilità delle versioni 5.01 e 6.0 del browser Microsoft. Le vulnerabilità sono già sfruttate da alcuni siti web “maligni”: è quindi consigliabile provvedere immediatamente all’installazione dell’aggiornamento cumulativo per evitare problemi. I problemi derivano essenzialmente da un’errata interpretazione di alcuni layout HTML da parte del browser e da un errore di programmazione nel controllo ActiveX “DirectAnimation”. Le conseguenze possibili sono l’esecuzione di codice nocivo visitando siti web “maligni” od aprendo e-mail confezionate “ad hoc”. Windows Vista ed Internet Explorer 7 sono immuni al problema.
– MS06-068 – Vulnerabilità in Microsoft Agent. Costruendo un file .ACF modificato per far leva sulla vulnerabilità, un aggressore può causare l’esecuzione di codice dannoso sul sistema dell’ignaro utente. Il file nocivo potrebbe essere inserito anche all’interno di una pagina web. La patch è destinata a tutte le versioni di Windows (tranne Vista).
– MS06-069 – Aggiornamento per Macromedia Flash Player. Aggiornamento che risolve diverse vulnerabilità di sicurezza del componente Flash Player di Adobe durante la gestione e la visualizzazione di file SWF. Aggiornamento destinato ai soli sistemi Windows XP.
– MS06-070 – Vulnerabilità nel Workstation service. Si tratta di una pezza per una vulnerabilità scoperta nel Workstation service di Windows 2000 e Windows XP che potrebbe facilitare la presa di possesso dell’intero sistema da parte di un aggressore remoto o condurre ben presto allo sviluppo di un worm operante su larga scala.
– MS06-071 – Vulnerabilità in Microsoft XML Core Services. Probabilmente l’aggiornamento di sicurezza più atteso per questo mese. Il problema era stato scoperto all’inizio del mese all’interno del controllo ActiveX “XMLHTTP 4.0”. Questa lacuna assume un’importanza molto rilevante considerato l’ampio utilizzo che oggi si fa di XMLHTTP: si tratta infatti di un insieme di API che possono essere utilizzate da parte di un gran numero di linguaggi di scripting (quali, ad esempio, Javascript e VBScript) per lo scambio di dati tra client e server mediante il protocollo HTTP. XMLHTTP è uno dei componenti chiave utilizzati nello sviluppo di pagine web basate su AJAX. Un aggressore remoto, sfruttando la mancanza della patch MS06-071, potrebbe eseguire codice nocivo sulla macchina “vittima” semplicemente spingendo l’utente a visitare un sito web maligno mediante il browser Internet Explorer. Chi avesse applicato il “kill bit” illustrato provveda alla sua disattivazione prima di installare la patch.
Oltre alle varie patch di sicurezza, Microsoft ha anche reso disponibile l’ultima versione del suo “Strumento di rimozione malware” (v.1.22).