[NEWS] Microsoft sistema dieci falle primaverili

c.m.g · 09-04-2008, 09:34

mercoledì 09 aprile 2008

Redmond (USA) - I bollettini di sicurezza pubblicati da Microsoft nel secondo martedì di aprile sono otto, cinque dei quali considerati della massima gravità, e riguardano complessivamente dieci vulnerabilità di sicurezza in Windows, Office ed Internet Explorer.

I cinque bollettini di importanza più elevata descrivono vulnerabilità relative a Microsoft Project 2000, 2002 e 2003; al componente GDI (Graphics Device Interface) alla base di tutte le versioni di Windows attualmente supportate da Microsoft (sia a 32 che a 64 bit); ai motori VBScript e JScript di Windows 2000, XP e 2003; ad alcuni controlli ActiveX, tra i quali quelli usati da diverse applicazioni Microsoft e dal Yahoo! Music Jukebox; e ad IE 5, 6 e 7. In tutti i casi, queste falle possono essere potenzialmente utilizzate per eseguire del codice a distanza.

Le rimanenti vulnerabilità, classificate "important", riguardano invece il client DNS incluso in tutte le versioni supportate di Windows tranne Server 2008 e Vista SP1; il kernel di tutte le versioni di Windows supportate; e le versioni XP, 2003 e 2007 di Microsoft Visio. Nel primo caso il bug può essere sfruttato per lanciare attacchi di spoofing, nel secondo per elevare i propri privilegi, nell'ultimo per eseguire del codice a distanza.

Un sommario dei bollettini può essere consultato qui, mentre in questo post SANS Institute ha pubblicato una tabella che mostra, discriminando tra sistemi client e server, il livello di rischio di ciascun bollettino. SANS ha avvisato del fatto che exploit dimostrativi per i bug relativi ai controlli ActiveX sono già di pubblico dominio.

Di recente la tecnologia ActiveX è tornata sotto i riflettori degli esperti di sicurezza per via di un toolkit per cracker capace di sfruttare le debolezze di sette differenti controlli ActiveX, tra i quali quelli utilizzati da Microsoft, Citrix, Macrovision, D-Link, HP, Gateway, Sony e Symantec.

Negli scorsi giorni Symantec ha scovato una falla potenzialmente seria nel Service Pack 3 per Windows XP, un aggiornamento ancora in incubazione ma atteso entro l'inizio dell'estate. Il bug, ha spiegato la celebre società di sicurezza, è contenuto nel codice di Explorer che interpreta i file di Word per estrapolarne informazioni quali autore, titolo ecc.

Fonte: Punto Informatico

c.m.g · 09-04-2008, 10:13

ripreso anche da Webnews:

http://www.webnews.it/news/leggi/812...aggiornamenti/

e Tweakness:

http://www.tweakness.net/topic.php?id=4456

09-04-2008, 09:34	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Microsoft sistema dieci falle primaverili mercoledì 09 aprile 2008 Redmond (USA) - I bollettini di sicurezza pubblicati da Microsoft nel secondo martedì di aprile sono otto, cinque dei quali considerati della massima gravità, e riguardano complessivamente dieci vulnerabilità di sicurezza in Windows, Office ed Internet Explorer. I cinque bollettini di importanza più elevata descrivono vulnerabilità relative a Microsoft Project 2000, 2002 e 2003; al componente GDI (Graphics Device Interface) alla base di tutte le versioni di Windows attualmente supportate da Microsoft (sia a 32 che a 64 bit); ai motori VBScript e JScript di Windows 2000, XP e 2003; ad alcuni controlli ActiveX, tra i quali quelli usati da diverse applicazioni Microsoft e dal Yahoo! Music Jukebox; e ad IE 5, 6 e 7. In tutti i casi, queste falle possono essere potenzialmente utilizzate per eseguire del codice a distanza. Le rimanenti vulnerabilità, classificate "important", riguardano invece il client DNS incluso in tutte le versioni supportate di Windows tranne Server 2008 e Vista SP1; il kernel di tutte le versioni di Windows supportate; e le versioni XP, 2003 e 2007 di Microsoft Visio. Nel primo caso il bug può essere sfruttato per lanciare attacchi di spoofing, nel secondo per elevare i propri privilegi, nell'ultimo per eseguire del codice a distanza. Un sommario dei bollettini può essere consultato qui, mentre in questo post SANS Institute ha pubblicato una tabella che mostra, discriminando tra sistemi client e server, il livello di rischio di ciascun bollettino. SANS ha avvisato del fatto che exploit dimostrativi per i bug relativi ai controlli ActiveX sono già di pubblico dominio. Di recente la tecnologia ActiveX è tornata sotto i riflettori degli esperti di sicurezza per via di un toolkit per cracker capace di sfruttare le debolezze di sette differenti controlli ActiveX, tra i quali quelli utilizzati da Microsoft, Citrix, Macrovision, D-Link, HP, Gateway, Sony e Symantec. Negli scorsi giorni Symantec ha scovato una falla potenzialmente seria nel Service Pack 3 per Windows XP, un aggiornamento ancora in incubazione ma atteso entro l'inizio dell'estate. Il bug, ha spiegato la celebre società di sicurezza, è contenuto nel codice di Explorer che interpreta i file di Word per estrapolarne informazioni quali autore, titolo ecc. Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

09-04-2008, 10:13	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso anche da Webnews: http://www.webnews.it/news/leggi/812...aggiornamenti/ e Tweakness: http://www.tweakness.net/topic.php?id=4456 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 09-04-2008 alle 10:25.

Strumenti
Mostra una versione stampabile Invia questa pagina per email