Come per ogni secondo Martedì del mese, arriva il “patch day” Microsoft. Questa volta sono solamente due gli aggiornamenti di sicurezza rilasciati dal colosso di Redmond. Il primo, indicato come “critico”, è l’aggiornamento cumulativo per Internet Explorer (MS05-054). La patch deve essere applicata su tutti i sistemi (Windows 98, Windows 98 SE, Windows ME, Windows 2000, Windows XP e Windows Server 2003) e consente di risolvere numerose vulnerabilità di sicurezza del browser Microsoft. Tra gli ultimi problemi di sicurezza, l’applicazione della patch tappa una pericolosissima falla il cui livello di criticità era stato da Secunia immediatamente portato “a fondo scala”. Il problema si determina nel momento in cui venga semplicemente inserita, in una pagina html, la funzione Javascript “window()
” all’interno dell’evento body onload
. Utilizzando del codice Javascript opportunamente concepito per sfruttare la falla di sicurezza, è possibile addirittura eseguire applicazioni maligne sul computer “vittima”: è sufficiente indurre l’utente a visitare una pagina web contenente il codice pericoloso.
Qualche settimana fa era stato reso noto in Rete anche il codice “proof-of-concept” che può essere facilmente ripreso da parte di malintenzionati per far danni.
Tra nuove vulnerabilità corrette dalla patch cumulativa di questo mese per Internet Explorer ve ne sono altre quattro di notevole importanza: tutte possono facilitare, da parte di aggressori remoti, l’esecuzione di codice nocivo sul personal computer dell’utente o la sottrazione di dati personali (ved. anche il bollettino di Secunia).
La seconda patch rilasciata da Microsoft (MS05-055) è classificata come “importante” e riguarda solo ed esclusivamente i sistemi Windows 2000: la mancanza di questo aggiornamento potrebbe permettere ad un utente che dispone delle credenziali per effettuare il login su una macchina Windows 2000, di acquisire un maggior numero di privilegi guadagnando così gli stessi diritti propri di un account amministrativo.
Le due patch di sicurezza sono prelevabili cliccando sui link che seguono:
– MS05-054 Patch cumulativa per Internet Explorer 5.01, 5.5, 6.0 (905915)
– MS05-055 Vulnerability in Windows Kernel Could Allow Elevation of Privilege (908523)
· Utilizzando il programma gratuito “VerificaPatchXP 3.5.1” gli utenti di Windows XP SP2 possono controllare se hanno provveduto ad applicare tutte le patch critiche rilasciate dal momento del rilascio del Service Pack 2. Il software è in grado non solo di rilevare le patch che mancano all’appello sul sistema ma di provvedere al download dal sito web ufficiale. Il prelievo si svolge in modo automatico solo per alcuni aggiornamenti. Nel caso in cui l’utente debba accettare il programma “Windows Genuine Advantage”, VerificaPatchXP propone semplicemente la pagina web Microsoft di riferimento. Per poter utilizzare VerificaPatchXP è indispensabile aver provveduto all’installazione del Framework .NET 1.1 (ved. questa pagina) o, in caso contrario, si riceverà un messaggio d’errore immediatamente all’avvio del programma. VerificaPatchXP 3.5.1 è prelevabile cliccando qui. L’uso del software non sostituisce l’utilizzo di Windows Update, di MBSA e degli altri servizi Microsoft.
Sono due le patch critiche rilasciate da Microsoft
Come per ogni secondo Martedì del mese, arriva il "patch day" Microsoft. Questa volta sono solamente due gli aggiornamenti di sicurezza rilasciati dal colosso di Redmond.