Come ogni secondo Martedì del mese, è la volta del “patch day” Microsoft. E’ infatti questo il giorno designato dal colosso di Redmond per il rilascio di patch ed aggiornamenti per sistema operativo ed applicazioni.
I bollettini di sicurezza pubblicati sono questa volta ben dieci e riguardano, complessivamente, tutte le versioni di Windows e di Office.
– Una vulnerabilità in Office può favorire la diffusione di informazioni personali (MS08-056). La patch consente di sanare una lacuna di programmazione in Office XP SP3 che potrebbe essere sfruttata da un aggressore inducendo l’utente a cliccare su un URL CDO modificato “ad arte”. L’aggiornamento è indicato come di importanza “moderata”.
– Alcune vulnerabilità presenti in Excel possono consentire l’esecuzione di codice in modalità remota (MS08-057). In questo caso si ha a che fare con una patch in grado di risolvere un problema nella gestione di file in formato Excel. Un aggressore potrebbe essere infatti in grado di eseguire codice dannoso, sui sistemi non opportunamente aggiornati, spronando l’utente all’apertura di un file Excel “maligno”. La patch è “critica” e riguarda tutte le versioni di Office, comprese quelle per Mac, oltre a SharePoint Server.
– Aggiornamento cumulativo per Internet Explorer (MS08-058). Questo aggiornamento consente di risolvere molteplici vulnerabilità di sicurezza che riguardano Internet Explorer nelle sue varie versioni (dalla 5.01 alla 7.0) e che potrebbero causare l’esecuzione di codice dannoso sul sistema visitando pagine web “maligne”. Patch “critica”.
– Una vulnerabilità nell’Host Integration Server potrebbe avere come conseguenza l’esecuzione di codice in modalità remota (MS08-059). La falla di sicurezza riguarda esclusivamente Microsoft Host Integration Server (HIS) nelle varie versioni 2000, 2004 e 2006. HIS è un prodotto Microsoft che fornisce interconnettività tra reti Windows e mainframe IBM – sistemi AS/400.
– Una vulnerabilità in Active Directory può agevolare l’esecuzione di codice da remoto (MS08-060). Questo aggiornamento di sicurezza si rivolge esclusivamente agli utenti Windows 2000 SP4 che abbiano Active Directory attivo. Patch indicata come “critica”.
– Alcune vulnerabilità nel kernel di Windows potrebbero consentire l’acquisizione di privilegi utente più elevati (MS08-061). I computer sprovvisti di questa patch di sicurezza sono vulnerabili soltanto ad attacchi sferrati localmente. Le vulnerabilità non sono sfruttabili per acquistare privilegi utente più elevati da remoto. I sistemi operativi interessati sono tutte le versioni di Windows, compresi Windows Vista e Windows Server 2008. La patch è “importante”.
– Una vulenrabilità nel servizio di stampa via Internet di Windows potrebbe permettere l’esecuzione di codice in modalità remota (MS08-062). Stando a quanto dichiarato da Microsoft, se un utente dotato di privilegi di amministratore è loggato sul sistema vulnerabile, un aggressore in grado di sfruttare la vulnerabilità, sanabile mediante l’installazione della patch, può prendere pieno controllo della macchina presa di mira. La patch riguarda tutte le versioni di Windows ed è indicata come “importante”.
– Una vulnerabilità in SMB può agevolare l’esecuzione di codice da remoto (MS08-063). Server Message Block (SMB) è un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete. La vulnerabilità potrebbe essere sfruttata da un malintenzionato per eseguire codice potenzialmente dannoso in modalità remota su un server che sta condividendo file e cartelle. Tra i fattori che mitigano l’importanza della vulnerabilità c’è la necessità, per l’aggressore, di essere un utente autenticato. Patch “importante”.
– Una vulnerabilità in Virtual Address Descriptor può portare all’acquisizione di privilegi più elevati (MS08-064). Questa vulnerabilità può essere sfrutata, in assenza della patch, qualora un utente esegua un’applicazione “maligna”, congeniata “ad arte” da un malintenzionato. Virtual Address Descriptor (VAD) è una forma di memoria virtuale che consente a ciascuna applicazione di ottenere un suo spazio di indirizzi privato. Patch “importante”.
– Una vulnerabilità nel servizio Message Queuing può consentire l’esecuzione di codice in modalità remota (MS08-065). La patch permette di sanare una vulnerabilità di sicurezza che riguarda il solo Windows 2000 SP4. Un aggressore potrebbe essere in grado di eseguire codice dannoso, in modalità remota, inviando una richiesta RPC opportunamente modificata. La patch è riportata come “importante”.
– Una vulnerabilità nel driver Microsoft Ancillary può portare all’acquisizione di privilegi più elevati (MS08-066). L’aggiornamento si rivolge ai sistemi Windows XP e Windows Server 2003 ed è collegato ad una lacuna connessa al driver (Ancillary) che si occupa di validare l’input proveniente dalla modalità utente prima di trasmetterlo al kernel del sistema operativo. La patch è indicata come “importante” perché l’aggressore deve essere necessariamente in possesso di credenziali di logon valide per far danni.
– Microsoft ha anche rilasciato, sotto forma di bollettino separato (ved. questa pagina), un aggiornamento di sicurezza per l’impostazione di alcuni “kill bit”. Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. L’aggiornamento di Microsoft fa sì che il caricamento di un ActiveX vulnerabile di terze parti venga impedito.
L’Internet Storm Center (ISC) ha pubblicato la sua consueta valutazione dei vari bollettini Microsoft. Secondo gli esperti di ISC, le patch più critiche in ambito client sarebbero le seguenti: MS08-057, MS08-058 oltre a quella che consente di applicare alcuni “kill bit” per una serie di ActiveX vulnerabili.
In ambito server, le patch indicate come “critiche” sono invece le seguenti: MS08-057 (solo però se si usa SharePoint), MS08-059, MS08-060, MS08-062 e MS08-063.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 2.3.