c.m.g
09-04-2008, 10:34
mercoledì 09 aprile 2008
Redmond (USA) - I bollettini di sicurezza pubblicati da Microsoft (http://www.microsoft.com/) nel secondo martedì di aprile sono otto, cinque dei quali considerati della massima gravità, e riguardano complessivamente dieci vulnerabilità di sicurezza in Windows, Office ed Internet Explorer.
I cinque bollettini di importanza più elevata descrivono vulnerabilità relative a Microsoft Project 2000, 2002 e 2003; al componente GDI (Graphics Device Interface) alla base di tutte le versioni di Windows attualmente supportate da Microsoft (sia a 32 che a 64 bit); ai motori VBScript e JScript di Windows 2000, XP e 2003; ad alcuni controlli ActiveX, tra i quali quelli usati da diverse applicazioni Microsoft e dal Yahoo! Music Jukebox; e ad IE 5, 6 e 7. In tutti i casi, queste falle possono essere potenzialmente utilizzate per eseguire del codice a distanza.
Le rimanenti vulnerabilità, classificate "important", riguardano invece il client DNS incluso in tutte le versioni supportate di Windows tranne Server 2008 e Vista SP1; il kernel di tutte le versioni di Windows supportate; e le versioni XP, 2003 e 2007 di Microsoft Visio. Nel primo caso il bug può essere sfruttato per lanciare attacchi di spoofing (http://it.wikipedia.org/wiki/Spoofing), nel secondo per elevare i propri privilegi, nell'ultimo per eseguire del codice a distanza.
Un sommario dei bollettini può essere consultato qui (http://www.microsoft.com/technet/security/bulletin/ms08-apr.mspx), mentre in questo post (http://isc.sans.org/diary.html?storyid=4264) SANS Institute ha pubblicato una tabella che mostra, discriminando tra sistemi client e server, il livello di rischio di ciascun bollettino. SANS ha avvisato del fatto che exploit dimostrativi per i bug relativi ai controlli ActiveX sono già di pubblico dominio.
Di recente la tecnologia ActiveX è tornata sotto i riflettori degli esperti di sicurezza per via di un toolkit per cracker (http://www.infoworld.com/article/08/04/07/New-attack-kit-targets-bag-of-ActiveX-bugs_1.html) capace di sfruttare le debolezze di sette differenti controlli ActiveX, tra i quali quelli utilizzati da Microsoft, Citrix, Macrovision, D-Link, HP, Gateway, Sony e Symantec.
Negli scorsi giorni Symantec ha scovato una falla potenzialmente seria (http://news.softpedia.com/news/Windows-XP-SP3-Gets-Its-First-Taste-of-Vulnerabilities-82729.shtml) nel Service Pack 3 per Windows XP, un aggiornamento ancora in incubazione ma atteso entro l'inizio dell'estate. Il bug, ha spiegato la celebre società di sicurezza, è contenuto nel codice di Explorer che interpreta i file di Word per estrapolarne informazioni quali autore, titolo ecc.
Fonte: Punto Informatico (http://punto-informatico.it/2250223/PI/News/Microsoft-sistema-dieci-falle-primaverili/p.aspx)
Redmond (USA) - I bollettini di sicurezza pubblicati da Microsoft (http://www.microsoft.com/) nel secondo martedì di aprile sono otto, cinque dei quali considerati della massima gravità, e riguardano complessivamente dieci vulnerabilità di sicurezza in Windows, Office ed Internet Explorer.
I cinque bollettini di importanza più elevata descrivono vulnerabilità relative a Microsoft Project 2000, 2002 e 2003; al componente GDI (Graphics Device Interface) alla base di tutte le versioni di Windows attualmente supportate da Microsoft (sia a 32 che a 64 bit); ai motori VBScript e JScript di Windows 2000, XP e 2003; ad alcuni controlli ActiveX, tra i quali quelli usati da diverse applicazioni Microsoft e dal Yahoo! Music Jukebox; e ad IE 5, 6 e 7. In tutti i casi, queste falle possono essere potenzialmente utilizzate per eseguire del codice a distanza.
Le rimanenti vulnerabilità, classificate "important", riguardano invece il client DNS incluso in tutte le versioni supportate di Windows tranne Server 2008 e Vista SP1; il kernel di tutte le versioni di Windows supportate; e le versioni XP, 2003 e 2007 di Microsoft Visio. Nel primo caso il bug può essere sfruttato per lanciare attacchi di spoofing (http://it.wikipedia.org/wiki/Spoofing), nel secondo per elevare i propri privilegi, nell'ultimo per eseguire del codice a distanza.
Un sommario dei bollettini può essere consultato qui (http://www.microsoft.com/technet/security/bulletin/ms08-apr.mspx), mentre in questo post (http://isc.sans.org/diary.html?storyid=4264) SANS Institute ha pubblicato una tabella che mostra, discriminando tra sistemi client e server, il livello di rischio di ciascun bollettino. SANS ha avvisato del fatto che exploit dimostrativi per i bug relativi ai controlli ActiveX sono già di pubblico dominio.
Di recente la tecnologia ActiveX è tornata sotto i riflettori degli esperti di sicurezza per via di un toolkit per cracker (http://www.infoworld.com/article/08/04/07/New-attack-kit-targets-bag-of-ActiveX-bugs_1.html) capace di sfruttare le debolezze di sette differenti controlli ActiveX, tra i quali quelli utilizzati da Microsoft, Citrix, Macrovision, D-Link, HP, Gateway, Sony e Symantec.
Negli scorsi giorni Symantec ha scovato una falla potenzialmente seria (http://news.softpedia.com/news/Windows-XP-SP3-Gets-Its-First-Taste-of-Vulnerabilities-82729.shtml) nel Service Pack 3 per Windows XP, un aggiornamento ancora in incubazione ma atteso entro l'inizio dell'estate. Il bug, ha spiegato la celebre società di sicurezza, è contenuto nel codice di Explorer che interpreta i file di Word per estrapolarne informazioni quali autore, titolo ecc.
Fonte: Punto Informatico (http://punto-informatico.it/2250223/PI/News/Microsoft-sistema-dieci-falle-primaverili/p.aspx)