Sono ben tredici i bollettini di sicurezza che Microsoft ha rilasciato quest’oggi nel corso del consueto “patch day” mensile: otto di essi sono indicati come “critici” mentre i restanti cinque come “importanti”. Il livello di criticità che Microsoft riporta è sempre il più grave: a seconda del sistema operativo, sia esso Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows 7, il rischio derivante da una mancata applicazione della patch corrispondente può talvolta essere considerato come più contenuto.
Passiamo ad una breve disamina dei vari bollettini:
– Alcune vulnerabilità in SMBv2 possono consentire l’esecuzione di codice in modalità remota (MS09-050; KB975517). Questo aggiornamento consente di risolvere alcune lacune di sicurezza nell’implementazione del protocollo SMBv2 in Windows Vista ed in Windows Server 2008. Si tratta dell’attesissima patch capace di sanare definitivamente il problema che tanto rumore aveva sollevato a partire da metà settembre. A fine mese scorso era stato pubblicato sul web un exploit, pienamente funzionante, che consente di sfruttare la vulnerabilità recentemente scoperta nel protocollo SMBv2 per attaccare in modalità remota le macchine Windows affette dalla problematica di sicurezza. Per maggiori informazioni in merito alla problematica, è possibile consultare queste news precedenti. Patch indicata come “critica”.
– Alcune vulnerabilità nelle runtime Windows Media possono agevolare l’esecuzione di codice da remoto (MS09-051; KB975682). La patch risolve due lacune di sicurezza scoperte nelle librerie runtime Windows Media. Un aggressore potrebbe causare l’esecuzione di codice nocivo sul sistema dell’utente inducendolo ad aprire file multimediali “maligni”, modificati “ad arte”. Gli utenti che sono soliti impiegare account dotati di privilegi più limitati, possono subire danni minori in mancanza dell’aggiornamento. Il bollettino interessa tutte le versioni di Windows, fatta eccezione per Windows 7, per la versione x64 di Windows Server 2008 R2 e per quelle Itanium di Windows Server 2003 SP2 e Windows Server 2008 (anche R2). Patch definita “critica”.
– Una vulnerabilità in Media Player può facilitare l’esecuzione di codice da remoto (MS09-052; KB974112). L’aggiornamento è destinato unicamente agli utenti dell’ormai vetusto Windows Media Player 6.4 su Windows 2000, Windows XP e Windows Server 2003.
La falla potrebbe essere sfruttata spronando l’utente, anche mediante tecniche di ingegneria sociale, all’apertura di un file ASF maligno. Patch “critica”.
– Alcune nel servizio FTP di IIS potrebbero consentire l’esecuzione di codice in modalità remota (MS09-053; KB975254). Così come per il problema sanato dalla patch MS09-050, anche in questo caso alcune notizie sulla lacuna di sicurezza erano trapelate nelle scorse settimane. Questo aggiornamento, una volta installato, è in grado di risolvere una falla scoperta nel servizio FTP di IIS 5.0, 5.1 e 6.0. Nel caso di IIS 7.0, solo la versione 6.0 del servizio FTP è affetta dal problema. Va sottolineato che anche con il servizio FTP di Microsoft attivo, la configurazione di default dello stesso non espone il sistema a particolari rischi. Solo coloro che hanno abilitato gli accessi anonimi sono maggiormente esposti. Per questo motivo, il bollettino è indicato come “importante”.
– Pacchetto di aggiornamento cumulativo per Internet Explorer (MS09-054; KB974455). Questo pacchetto di aggiornamento per Internet Explorer 5.01, 6.0, 7.0 e 8.0, risolve tre vulnerabilità di sicurezza presenti nel browser del colosso di Redmond. L’applicazione della patch è sempre caldamente consigliata, anche qualora non si utilizzi Internet Explorer per la “navigazione” in Rete. I rischi sono correlati al download ed all’esecuzione di codice e componenti nocivi visitando pagine web “maligne”. Patch “critica”.
– Aggiornamento cumulative per i kill bit ActiveX (MS09-055; KB973525). Questa patch consente di aggiornare i “kill bits” per gli ActiveX potenzialmente pericolosi. Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. L’aggiornamento di Microsoft fa sì che il caricamento di alcuni ActiveX vulnerabili, sviluppati di terze parti, venga impedito. Patch “critica”.
– Alcune vulnerabilità in Windows CryptoAPI possono agevolare attività di spoofing (MS09-056; KB974571). Con il termine “spoofing” ci si riferisce solitamente a quella particolare tipologia di attacchi informatici che mira a falsificare una qualche identità o procedura.
In questo caso, ad essere affetto dal problema – risolvibile mediante l’installazione dell’aggiornamento -, è il componente CryptoAPI: un aggressore potrebbe falsificare ad arte le comunicazioni qualora riuscisse ad impadronirsi del certificato usato lato utente per l’autenticazione. Il problema, classificato come “importante”, riguarda tutte le versione di Windows, “Seven” compreso.
– Una vulnerabilità nel servizio di indicizzazione di Windows può portare all’esecuzione di codice dannoso in modalità remota (MS09-057; KB969059). La vulnerabilità risolvibile attraverso l’installazione di questo aggiornamento potrebbe essere sfruttata da un aggressore remoto allestendo una pagina web che si interfacci al servizio di indicizzazione locale, attraverso il suo componente ActiveX. Patch “importante”.
– Alcune vulnerabilità nel kernel di Windows potrebbero facilitare l’acquisizione di privilegi più elevati (MS09-058; KB971486). Questo aggiornamento di sicurezza mette una pezza ad alcune vulnerabilità presenti nel kernel di Windows. La più pericolosa delle lacune potrebbe consentire ad un aggressore che riesca ad effettuare il login sul sistema di guadagnare privilegi utente più elevati. Affette dal problema sono tutte le versioni del sistema operativo, eccetto Windows 7 e Windows Server 2008 R2 x64/Itanium. Patch “importante”.
– Una vulnerabilità presente nel “Local Security Authority Subsystem” può agevolare attacchi Denial of Service (MS09-059; KB975467). Nel caso in cui un aggressore riuscisse ad inviare un pacchetto dati “confezionato” ad arte durante il processo di autenticazione NTLM, questi sarebbe in grado di sferrare un attacco DoS (“Denial of Service”). La patch è destinata a tutte le versioni di Windows, fatta eccezione per Windows 2000 SP4. Patch “importante”.
– Alcune vulnerabilità nei controlli ActiveX Microsoft Active Template Library (ATL) possono consentire l’esecuzione di codice da remoto (MS09-060; KB973965). L’aggiornamento risolve alcune vulnerabilità individuate nei controlli ActiveX utilizzati da Office XP, Office 2003 ed Office 2007 e compilati con una versione non aggiornata di Microsoft Active Template Library (ATL), una libreria di classi C++ distribuita insieme al compilatore C++ di Microsoft stessa. ATL consente di sviluppare velocemente applicazioni di un certo livello grazie anche al supporto di tecnologie come Component Object Model (COM) ed ActiveX.
– Alcune vulnerabilità nel “Common Language Runtime” di Microsoft .NET possono facilitare l’esecuzione di codice in modalità remota (MS09-061; KB974378). Le vulnerabilità risolvibili attraverso l’installazione di questa patch potrebbero essere sfruttate qualora l’utente dovesse trovarsi a visualizzare una pagina web “maligna” con un browser in grado di eseguire applicazioni XAML o Silverlight. In alternativa, l’attacco andrebbe egualmente a buon fine persuadendo l’utente ad eseguire una applicazione .NET altrettanto “maligna”.
Coinvolti potrebbero essere anche i server IIS nel caso in cui l’esecuzione di pagine ASP.NET sia stata autorizzata e nel caso in cui l’aggressore riuscisse a caricare sul server stesso ed a richiamare una pagina ASP.NET preparata per far leva sulla lacuna di sicurezza. La problematica interessa tutte le versioni di Windows ove siano stati installati il framework .NET 1.1 e/o 2.0. Patch indicata come “critica”. Nel caso in cui sul sistema siano installate entrambe le versioni del framework .NET di Microsoft, verrà proposto il download di due versioni della patch MS09-061.
– Alcune vulnerabilità in GDI+ possono permette l’esecuzione di codice da remoto (MS09-062; KB957488). La patch, classificata come “critica” si rivolge agli utenti che utilizzano un vasto numero di configurazioni software (per maggiori dettagli in merito, si faccia riferimento al bollettino ufficiale di Microsoft). Installando questo aggiornamento si evita che visualizzando un file d’immagine – modificato da un aggressore per far danni – venga eseguito sul sistema del codice dannoso. Patch classificata come “critica”.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 3.0.
Il prossimo appuntamento con il “patch day” di Microsoft è fissato per il 10 novembre.