Microsoft: aggiornamenti straordinari il 28 luglio

Microsoft: aggiornamenti straordinari il 28 luglio

Microsoft preannuncia l'imminente disponibilità di aggiornamenti Out-of-Band: coinvolti Internet Explorer e Visual Studio

di pubblicata il , alle 15:37 nel canale Sistemi Operativi
Microsoft
 

Nelle prossime ore Microsoft distribuirà due aggiornamenti straordinari dedicati a Internet Explorer e Visual Studio. Non si conoscono al momento i dettagli dei problemi risolti ma per il momento è noto l'elenco dei software Microsoft coinvolti: Windows 2000, Windows XP e Vista; Windows Server 2003 e 2008; Internet Explorer 6, 7 e 8; Microsoft Visual Studio .NET 2003, Visual Studio 2005 e 2008; Visual C++ 2005 e 2008.

Come ormai noto, Microsoft concentra i propri aggiornamenti in un'unico appuntamento mensile e solo in particolari casi ha fatto eccezioni. Probabilmente, la particolare natura del problema ha indotto Microsoft a un rilascio straordinario, chiamato anche Out-of-Band (OOB); a questo indirizzo è disponibile qualche dettaglio in più.

Il blog italiano curato da Microsoft e dedica a sicurezza e virtualizzazione commenta la notizia nel seguente modo:

anche se si sta indirizzando un unico problema, il rilascio prevede un bollettino relativo alla famiglia di prodotti di sviluppo Microsoft Visual Studio per correggere le vulnerabilità specifiche, e un bollettino relativo a Internet Explorer per introdurre dei miglioramenti che aiutano a proteggere meglio dai rischi esposti dalle vulnerabilità di Visual Studio (in pratica si bloccano le modalità che possano usare Internet Explorer come vettore di attacco).

vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all’ampiezza dell’impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile: è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza.

L'appuntamento per la disponibilità degli aggiornamenti e di tutti i dettagli correlati è per martedì 28 luglio alle ore 19.00.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Human_Sorrow27 Luglio 2009, 15:58 #1

azz...

sembra una cosa seria!!

".. è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza."

°_° CIOE' ?? Devo ricompilare e ridistrubuire dopo aver messo il fix ?!?!

staranno scherzando
Souldust27 Luglio 2009, 16:08 #2
Che hanno combinato?
SuperSandro27 Luglio 2009, 16:22 #3
Speriamo che non mi diano problemi e mi lascino libero per la prima serata:
stasera inizia Lost (su RAI 2).
filippo198027 Luglio 2009, 16:40 #4
@ Human:
da quel che ne capisco ti devi preoccupare solo se usi il componente "vulnerabile" e non se sviluppi con Visual Studio... ne sapremo di più dopo le 18
Per il resto che dire... mi è sembrata sempre una cazzata concentrare gli aggiornamenti in un giorno preciso del mese... passi far scarcare aggiornamenti di nuove funzionalità, ma per quanto riguarda la sicurezza, appena trovato e risolto un bug dovrebbe essere messo immediatamente on-line IMHO
CountDown_027 Luglio 2009, 17:27 #5
Leggete bene, l'aggiornamento esce domani!
Riccardo8227 Luglio 2009, 17:53 #6
ehm.. per piacere ditemi che non è vero... ditemi che non devo ricompilare TUTTO e ridistribuire...
Mr Resetti27 Luglio 2009, 18:07 #7
Originariamente inviato da: Human_Sorrow
sembra una cosa seria!!

".. è per questo che si richiama l’attenzione degli sviluppatori su questo rilascio straordinario, essi dovranno valutare se le loro applicazioni sono interessate da questo problema e dovranno attrezzarsi per aggiornarle di conseguenza."

°_° CIOE' ?? Devo ricompilare e ridistrubuire dopo aver messo il fix ?!?!

staranno scherzando
Originariamente inviato da: filippo1980
@ Human:
da quel che ne capisco ti devi preoccupare solo se usi il componente "vulnerabile" e non se sviluppi con Visual Studio... ne sapremo di più dopo le 18
Per il resto che dire... mi è sembrata sempre una cazzata concentrare gli aggiornamenti in un giorno preciso del mese... passi far scarcare aggiornamenti di nuove funzionalità, ma per quanto riguarda la sicurezza, appena trovato e risolto un bug dovrebbe essere messo immediatamente on-line IMHO



A mio avviso avete compreso male quello che si voleva dire. Infatti se leggete la seguente frase:

vista la tipologia di bollettini si può ragionevolmente intuire che la serietà del problema sia direttamente connessa all’ampiezza dell’impatto di queste vulnerabilità, ben oltre i prodotti Microsoft, [U]estesa alla particolare tipologia di applicazioni che, sviluppate tramite Visual Studio, possano aver redistribuito il componente vulnerabile[/U]


Non penso si tratti di dover ricompilare tutto, ma di non redistribuire il componente vulnerabile. Che io sappia, molti programmi per funzionare hanno bisogno di alcune parti di Visual Studio, che vengono appunto rilasciate assieme al pacchetto di installazione (durante la quale installano anche pacchetti di VS++, i cosiddetti Redistributable).

Penso sia quello a cui si riferisce la news... pacchetti che si installano assieme ai programmi e che sembrerebbero avere delle falle di sicurezza.

Non è detto che tutti abbiano questi componenti installati, ed è per quello che suggeriscono di informarsi se sia il caso o meno di aggiornare!

A chi sviluppa e distribuisce i programmi è probabile che debba ricompilare l'eseguibile di installazione, se questi componenti fossero inclusi, ma non è assolutamente detto, dato che l'aggiornamento di sicurezza potrebbe essere comunque fatto da chi acquista il software!
nickmot28 Luglio 2009, 08:53 #8
Originariamente inviato da: Mr Resetti
Non è detto che tutti abbiano questi componenti installati, ed è per quello che suggeriscono di informarsi se sia il caso o meno di aggiornare!

A chi sviluppa e distribuisce i programmi è probabile che debba ricompilare l'eseguibile di installazione, se questi componenti fossero inclusi, ma non è assolutamente detto, dato che l'aggiornamento di sicurezza potrebbe essere comunque fatto da chi acquista il software!


Il solo pensiero di dover mettere mano all'install script mi devasta... Speriamo che non tocchi la parte MFC o devo mettermi a rifarlo praticamente da zero!
PhirePhil28 Luglio 2009, 09:45 #9
se rilasciano un out-of-band mi sa che c'è già un malware funzionante che sfrutta la falla altrimenti il rilascio avrebbe seguito le tempestiche consuete.

Se la fix di IE serve solo a mitigare gli effetti di quella di Visual Studio è possibile che il browser di MS non sia l'unico vulnerabile...

Rilasciare gli update in una data fissa è fondamentale per le aziende dato che il processo della gestione degli update impiega diversi gruppi di persone con attività di testing ben precise, se uscissero a casaccio come alcuni auspicano si arriverebbe al risultato che gli aggiornamenti non verrebbero installati puntualmente e questo, per le vulnerabilità scoperte internamente, sarebbe molto pericoloso dato che una volta rilasciata la fix tramite reverse engineering è facile risalire alla falla che viene corretta e quindi da quel punto in avanti i sistemi non fixati sono veramente a rischio.
Jaguarrrr28 Luglio 2009, 12:11 #10

Programmatori voi ?

Ma siete dei campioni. Pur di postare e per dire che programmate (parolone) dite cose assurde

riccardo82 deve ricompilare tutto
nickmot MFC...
ridistribuire tutto...

stiamo scendendo in basso

e cmq, se il baco è del framework .net, esso cambia e il codice per tale piattaforma non deve essere ricompilato proprio perchè è un layer intermedio... vabbè e io che sto pure a spiegare...

ciauzzzzzzzzzz

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^