Il “patch day” di Microsoft per il mese di dicembre è molto “ricco”. Il colosso di Redmond ha infatti messo a disposizione degli utenti e degli amministratori di sistema ben 17 aggiornamenti di sicurezza. Analizziamoli in breve.
– Aggiornamento cumulativo per Internet Explorer (MS10-090)
Questo aggiornamento risolve una serie di lacune di sicurezza individuate in Internet Explorer 6.0, 7.0 e 8.0. Patch indicata come “critica”.
– Alcune vulnerabilità nel driver OpenType Font (OTF) può agevolare l’esecuzione di codice da remoto (MS10-091)
Questo aggiornamento di sicurezza risolve alcune vulnerabilità individuate nel driver per la gestione degli OpenType Font (OTF) in Windows. Un aggressore, salvando una fonte di carattere OTF modificata “ad arte” in un’unità condivisa in rete, può provocare l’esecuzione di codice dannoso sui sistemi client semplicemente “spronando” gli utenti a visitare la cartella contenente il file dannoso. La patch interessa tutte le versioni di Windows. Patch indicata come “critica”.
– Una vulnerabilità nel Task Scheduler può facilitare l’acquisizione di privilegi più elevati (MS10-092)
L’aggiornamento consente di sanare la falla di sicurezza, scoperta nella funzionalità “Operazioni pianificate” di Windows, che è stata sfruttata dal worm Stuxnet per diffondersi. Recentemente gli autori del rootkit TDL hanno inserito il codice exploit per la stessa vulnerabilità nel loro malware (per maggiori approfondimenti, suggeriamo di fare riferimento a questo nostro articolo). L’applicazione della patch interessa tutte le versioni di Windows fatta eccezione per Windows XP e Windows Server 2003. Aggiornamento indicato come “importante”.
– Una vulnerabilità in Windows Movie Maker può facilitare l’esecuzione di codice da remoto (MS10-093)
Con questo bollettino di sicurezza, Microsoft risolve una vulnerabilità nota pubblicamente e che può portare all’esecuzione di codice potenzialmente dannoso allorquando l’aggressore riesca a persuadere l’utente-vittima ad aprire un file Movie Maker salvato nella stessa directory contenente una libreria modificata “ad arte”. La patch, “importante”, interessa solo gli utenti di Windows Vista.
– Una vulnerabilità nel Windows Media Encoder può agevolare l’esecuzione di codice in modalità remota (MS10-094)
Anche i dettagli relativi alla vulnerabilità sanabile mediante l’applicazione dell’aggiornamento MS10-094 sono già noti pubblicamente. Un aggressore, in questo caso, può riuscire ad eseguire codice potenzialmente nocivo convincendo l’utente ad aprire un file Windows Media Profile (.prx) memorizzato nella stessa directory insieme con una libreria modificata “ad arte”. Patch “importante” che riguarda gli utenti di tutte le versioni di Windows, fatta eccezione per Windows Server 2008 R2 e Windows 7.
– Una vulnerabilità individuata in Windows può consentire l’esecuzione di codice da remoto (MS10-095)
Qualora l’utente aprisse un file con estensione .eml (messaggio di posta elettronica), .rss o .wpost memorizzato in una cartella insieme con una libreria modificata “ad arte” da un aggressore, potrebbe verificarsi l’esecuzione di codice dannoso. Patch “importante” destinata a Windows 7 e Windows Server 2008 R2.
– Una vulnerabilità nella rubrica di Windows può permettere l’esecuzione di codice potenzialmente dannoso da remoton (MS10-096)
Anche in questo caso, l’esecuzione del codice nocivo potrebbe verificarsi nel momento in cui l’utente tenti di aprire un file della rubrica di Windows (.wab) memorizzato in una certa directory insieme con una libreria dannosa, modificata “ad arte”. Patch “importante” che interessa tutte le versioni di Windows.
– Il caricamento effettuato in modo non sicuro di una libreria nel wizard per la configurazione della connessione Internet può facilitare l’esecuzione di codice da remoto (MS10-097)
Questo aggiornamento permette di sanare una lacuna di sicurezza scoperta nell’approccio utilizzato dalla procedura passo-passo per la configurazione della connessione Internet di Windows XP e Windows Server 2003. Patch indicata come “importante”.
– Alcune vulnerabilità nei driver kernel mode di Windows possono agevolare l’acquisizione di privilegi utente più elevati (MS10-098)
Le vulnerabilità risolvibili mediante l’installazione di questo aggiornamento (interessa tutte le versioni di Windows) potrebbero consentire ad un aggressore di impossessarsi di privilegi utente più elevati eseguendo una particolare applicazione. Il malintenzionato deve comunque disporre di credenziali di accesso valide per effettuare il login sul sistema preso di mira. Patch “importante”.
– Una vulnerabilità nel componente Routing and Remote Access NDProxy potrebbe consentire l’acquisizione di privilegi più elevati (MS10-099)
Come nel caso del bollettino di sicurezza precedente, per sfruttare la vulnerabilità, un aggressore deve essere in possesso di credenziali di accesso valide per il sistema preso di mira ed eseguire un’applicazione preparata “ad hoc”. Patch “importante” che riguarda Windows XP e Windows Server 2003.
– Una vulnerabilità in Consent User Interface può facilitare l’acquisizione di privilegi più elevati (MS10-100)
Anche in questo caso, per poter far leva sulla lacuna di sicurezza, l’aggressore deve essere in possesso di credenziali d’accesso valide per il sistema preso di mira ed eseguirvi un’applicazione “ad hoc”. Patch “importante” che interessa tutte le versioni di Windows eccetto Windows XP e Windows Server 2003.
– Una vulnerabilità nel servizio Windows Netlogon può agevolare attacchi Denial of Service (MS10-101)
Questo aggiornamento di sicurezza permette di sanare una falla presente nel servizio RPC Netlogon e può essere sfruttata da parte di un aggressore inviando, al sistema vulnerabile, un pacchetto dati “maligno”. La patch, classificata come “importante”, riguarda i sistemi Windows Server 2003 e Windows Server 2008.
– Una vulnerabilità presente in Hyper-V può facilitare attacchi Denial of Service (MS10-102)
Questa patch consente di risolvere una lacuna scoperta in Windows Server 2008 Hyper-V così come in Windows Server 2008 R2 Hyper-V. Patch “importante”.
– Alcune vulnerabilità in Microsoft Publisher possono agevolare l’esecuzione di codice da remoto (MS10-103)
Le lacune di sicurezza sanabili attraverso l’adozione di questo aggiornamento per Office XP, Office 2003, Office 2007 ed Office 2010, potrebbero essere sfruttate per eseguire codice dannoso sul sistema della vittima semplicemente spronando l’utente ad aprire un file “maligno” in formato Publisher. Patch “importante”.
– Una vulnerabilità in Microsoft SharePoint può consentire l’esecuzione di codice in modalità remota (MS10-104)
Quest’aggiornamento risolve una vulnerabilità che potrebbe essere sfruttata da un malintenzionato trasmettendo una richiesta SOAP modificata “ad arte” al server SharePoint. La patch interessa Office SharePoint Server 2007 ed è indicata come “importante”.
– Alcune vulnerabilità nei filtri grafici di Microsoft Office possono permettere l’esecuzione di codice in modalità remota (MS10-105)
Nel caso in cui un utente che non provveda ad installare questo aggiornamento, si trovasse a visualizzare un file d’immagine modificato “ad arte” con Office, potrebbe vedere eseguito – sul proprio sistema – codice dannoso. Patch “importante” che riguarda Office XP, Office 2003, Office 2007, Office 2010 oltre a Works 9 ed al Microsoft Office Converter Pack.
– Una vulnerabilità in Microsoft Exchange può facilitare attacchi Denial of Service (MS10-106)
L’aggiornamento consente di risolvere una lacuna di sicurezza individuata in Microsoft Exchange e che potrebbe essere sfruttata, da un aggressore, inviando al server un messaggio opportunamente predisposto. Patch di importanza “moderata” che interessa solamente Exchange Server 2007 SP2 per sistemi x64.
A corollario del “patch day” odierno, come consuetudine, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 3.14.
Il prossimo appuntamento con il “patch day” di Microsoft è fissato per martedì 11 gennaio 2011.