"Patch day" di febbraio: 13 gli aggiornamenti Microsoft

Sono ben tredici i bollettini di sicurezza che Microsoft ha pubblicato quest’oggi nel corso del consueto “patch day” mensile: cinque di essi riguardano vulnerabilità “critiche”, sette falle “importanti” mentre uno è relativo ad una vulnerabilità indicata come di importanza “moderata”.

Il livello di criticità che Microsoft è solita riportare, è sempre il più grave: a seconda del sistema operativo, sia esso Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows 7, il rischio derivante da una mancata applicazione della patch corrispondente può talvolta essere considerato come più contenuto (è sufficiente consultare i vari bollettini per stabilirlo).

Ecco una breve disamina degli aggiornamenti rilasciati questo mese:
– Una vulnerabilità in Office può facilitare l’esecuzione di codice in modalità remota (MS10-003). Questo aggiornamento corregge una lacuna di sicurezza scoperta nel pacchetto Microsoft Office che potrebbe essere sfruttata da un malintenzionato nel momento in cui riuscisse ad indurre l’utente ad aprire un documento “maligno”, “confezionato ad arte”. Il bollettino di sicurezza riguarda solo gli utenti di Office XP SP3 e di Office 2004 for Mac. Patch “importante”.
– Alcune vulnerabilità in Office possono agevolare l’esecuzione di codice da remoto (MS10-004). Mediante l’applicazione di questa patch gli utenti di Office XP SP3, Office 2003 SP3 ed Office 2004 for Mac possono risolvere una falla che potrebbe essere sfruttata, da parte di un malintenzionato, inducendo l’utente ad aprire un file PowerPoint “dannoso”. Patch “importante”.
– Una vulnerabilità presente in Paint potrebbe consentire l’esecuzione di codice dannoso in modalità remota (MS10-005). Nel caso in cui un utente di Windows 2000 SP4, Windows XP o Windows Server 2003 dovesse aprire un file in formato JPEG – modificato “ad arte” per sfruttare la vulnerabilità di sicurezza – utilizzando Microsoft Paint, potrebbe verificarsi l’esecuzione di codice dannoso. Patch di importanza “moderata”.
– Una vulnerabilità nel client SMB potrebbe favorire l’esecuzione di codice dannoso in modalità remota (MS10-006). Questa patch è rivolta agli utenti di tutti i sistemi operativi Windows e consente di scongiurare i pericoli che si potrebbero correre nel caso in cui un aggressore invii un pacchetto SMB modificato al sistema vulnerabile. Della falla, scoperta da Laurent Gaffié, avevamo parlato a suo tempo in questa news. Patch “critica”.
– Una vulnerabilità presente nello shell handler di Windows può portare all’esecuzione di codice in modalità remota (MS10-007). La vulnerabilità risolvibile mediante l’installazione di questo aggiornamento potrebbe essere sfruttata da un aggressore per eseguire codice potenzialmente dannoso. Tale spiacevole situazione potrebbe verificarsi nel momento in cui un’applicazione (ad esempio, un browser web) passi dei dati modificati “ad arte” alla funzione API “ShellExecute“. Patch “critica”.
– Aggiornamento cumulativo dei kill bits ActiveX (MS10-008). Questa patch consente di aggiornare i “kill bits” per gli ActiveX potenzialmente pericolosi. Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. L’aggiornamento di Microsoft fa sì che il caricamento di alcuni ActiveX vulnerabili, sviluppati di terze parti, venga impedito. Patch “critica”.
– Alcune vulnerabilità nell’implementazione del protocollo TCP/IP potrebbero facilitare l’esecuzione di codice da remoto (MS10-009). Le lacune di sicurezza sanabili mediante l’applicazione di questo bollettino sono quattro. La più grave di esse può portare all’esecuzione di codice nocivo sulla macchina vulnerabile allorquando il protocollo IPv6 sia attivato e vengano ricevuti dei pacchetti di dati modificate “ad arte”. La patch è destinata agli utenti di Windows Vista e Windows Server 2008. Patch “critica”.
– Una vulnerabilità in Windows Server 2008 Hyper-V può facilitare attacchi Denial of Service (MS10-010). L’aggiornamento mette una pezza ad un “buco” di sicurezza scoperto in Hyper-V, in Windows Server 2008. Eseguendo una serie di istruzioni “malformate” sulla macchina “guest”, un utente malintenzionato – loggatosi sul sistema virtualizzato – potrebbe causare un attacco di tipo DoS (Denial of Service). Patch “importante”.
– Una vulnerabilità nel sottosistema runtime client/server di Windows potrebbe agevolare l’acquisizione di privilegi più elevati (MS10-011). L’aggiornamente permette di risolvere una falla presente in Windows 2000 SP4, Windows XP ed in Windows Server 2003. In assenza della patch, un aggressore che riuscisse ad effettuare il login sul sistema vulnerabile potrebbe essere in grado di acquisire privilegi più elevati mandando in esecuzione un’applicazione “ad hoc”. Il problema è legato ad una mancata chisura di tutti i processi dell’utente nel momento in cui questi effettua il logout. Patch “importante”.
– Una vulnerabilità nel server SMB può causare l’esecuzione di codice dannoso in modalità remota (MS10-012). Le vulnerabilità risolte sono, in questo caso, tre. La più pericoloso tra di esse potrebbe agevolare un attacco da parte di un aggressore remoto che riuscisse a “confezionare” un pacchetto dati SMB malformato e ad inviarlo alla macchina-vittima. L’aggiornamento coinvolge tutte le versioni di Windows. Patch “importante”.
– Una vulnerabilità in DirectShow può agevolare l’esecuzione di codice da remoto (MS10-013). Questa patch consente di sanare un’imprecisione di Microsoft DirectShow nell’apertura e nella gestione dei file in formato AVI. Un aggressore potrebbe far leva sulla lacuna di sicurezza inducendo l’utente all’apertura di un video AVI modificato “ad arte”. Interessate dal problema sono tutte le versioni di Windows (nel caso di alcuni sistemi, sono due le differenti patch da installare). Il problema è stato definito “critico”.
– Una vulnerabilità in Kerberos potrebbe agevolare attacchi Denial of Service (MS10-014). La falla di sicurezza interessa gli utenti di Windows 2000 Server SP4, Windows Server 2003 e Windows Server 2008. Un aggressore potrebbe sfruttarla inviando richieste non standard. Patch “importante”.
– Alcune vulnerabilità presenti nel kernel di Windows possono portare all’acquisizione di privilegi più elevati (MS10-015). Questa patch consente di sanare una problematica presente in tutte le versioni di Windows (fatta eccezione per le versioni a 64 bit di Windows 7 e per Windows Server 2008 R2 x64/Itanium). Un aggressore potrebbe guadagnare privilegi utente più elevati “loggandosi” sul sistema-vittima ed eseguendo un’applicazione “ad hoc”. Patch “importante”.

Questo aggiornamento risolve il problema di sicurezza scoperto da Tavis Ormandy nella “Virtual DOS Machine” (VMD) introdotta in Windows nel lontano 1993 per garantire il supporto per le ormai vetuste applicazioni a 16 bit. Ormandy, che ha “militato” per anni nel “security team” di Google, ha individuato diverse vulnerabilità nell’implementazione della VMD che potrebbero far sì che programmi a 16 bit, dotati di nessun particolare privilegio utente, riescano a minare il funzionamento del kernel di Windows. Questo tipo di falle potrebbe facilitare l’esecuzione di codice nocivo sul sistema dell’utente grazie all’acquisizione di privilegi elevati.

A corollario del “patch day” odierno, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 3.4.

Il prossimo appuntamento con il “patch day” di Microsoft è fissato per il 9 marzo.