Per il secondo mese consecutivo Microsoft cambia idea nel weekend e decide di non rilasciare una delle patch studiate nella settimana precedente: invece di sette, come annunciato, ne vengono rilasciate sei.

Redmond, USA - Varie versioni di Windows, Word, Internet Explorer, Outlook Express e il server SharePoint sono oggetto di attenzione per la risoluzione di alcuni flaw. Tutto inizia con il Microsoft Security Bulletin MS07-055, che riguarda il Kodak Image Viewer di Windows 2000: con un'immagine appositamente alterata è possibile prendere il controllo di un PC.

Microsoft sostiene che questa vulnerabilità, individuata dal Sig. Cu Fang e da Rita Schapper di Global 360, non è attivamente utilizzata. Vi sono però segnali contrari, come quello di Armol Sarwate di Qualys, che dice ""MS07-057 . . .: da risolvere subito, riguarda problemi già esistenti".

A seguire, il Microsoft Security Bulletin MS07-056, che identifica un problema con il Network News Transfer Protocol (NNTP) così come implementato da Microsoft e utilizzato da Microsoft Mail e Outlook Express in tutte le versioni a partire da Windows 2000. Microsoft anche qui sostiene, ringraziando Greg MacManus di VeriSign's iDefense Labs per aver aiutato a trovarlo, che non rappresenta un flaw attivamente impiegato.

Vi è poi la vicenda di un problema vecchio di otto mesi, corretto con il Microsoft Security Bulletin MS07-057: un update cumulativo per Internet Explorer 6 e 7 che corregge tre problemi, al cui proposito si sapeva un po' tutto. Si trattava di uno spoof applicabile alla barra degli indirizzi, conosciuto sin da Febbraio 2007, che secondo il SANS Internet Storm Center di Microsoft non ha causato particolari exploit.

L'ultima falla critica di cui al Microsoft Security Bulletin MS07-060, riguarda un problema di esecuzione remota di codice in Word 2000 e Word XP. Questi bug sono stati identificati da Liu Kun-Hao dell'Information and Communication Security Technology Center e non sembrano aver probocato danni a largo raggio.

Microsoft ha anche rilasciato due patch "importanti", compresa quella riferita nel Microsoft Security Bulletin MS07-058 , che riguarda una possibilità di DoS (denial of service) nel sistema di remote procedure call (RPC) in tutte le varianti client e server da Windows 2000 in poi. Microsoft ringrazia Zero Day Initiative per averlo fatto notare ma, anche qui, sostiene che non sia stata sfruttata a largo raggio.

Il problema di cui al MS07-058 è unico per il modo in cui infetta, secondo Sarwate. "La vittima non deve far altro che accendere il PC ed essere in Internet per subire l'exploit", dice.

L'ultima patch, descritta nel Microsoft Security Bulletin MS07-059, risolve una falla pubblicamente conosciuta nella versione 3.0 dei servizi server di Windows SharePoint e Office SharePoint Server 2007, progettati per Windows Server 2003. Questa falla potrebbe consentire a un attacker di far girare uno script appositamente alterato che darebbe una scalata di privilegi e possibilmente accesso ad informazioni sugli account. Microsoft ha dato a questa falla un rating di "importante".

Secondo i comunicati di Microsoft di Venerdì scorso, la patch avrebbe risolto importanti falle in Windows 2000, XP, Vista e Windows Server 2003. L'azienda non ha al momento però comunicato il motivo del mancato rilascio.

Una simile decisione fu presa già in precedenza , quando Microsoft avvertì di cinque patch ma ne rilasciò solo quattro al momento dell'invio degli aggiornamenti di Settembre. Quel giro di aggiornamenti riguardava la sicurezza di SharePoint security ed è stata poi inclusa nel bollettino MS07-059 di questo mese.

Condividere questa pagina su: