Back        Prossimo "Mancante"

Internet Explorer, tempo di megapatch

13 April 2006

Con i bollettini di aprile Microsoft ha corretto oltre una dozzina di vulnerabilità, tra cui dieci relative ad Internet Explorer. Tra le falle sistemate ve ne sono alcune già sfruttate dai cracker per seminare codici dannosi.

La megapatch di IE

Redmond (USA) - Nella notte di martedì Microsoft ha pubblicato cinque bollettini di sicurezza contenenti, nel complesso, 14 patch relative a Internet Explorer, Outlook Express, Windows e FrontPage. L’aggiornamento più corposo riguarda IE, dove Microsoft ha corretto dieci vulnerabilità scoperte di recente.

Descritte nel bollettino MS06-013, le patch per IE sono quasi tutte classificate con il massimo grado di pericolosità: ciò significa che nel caso in cui un utente sia autenticato con privilegi di amministrazione, un aggressore potrebbe sfruttare le falle da remoto per assumere il completo controllo del sistema. Un tipico attacco, valido per tutte le debolezze, è quello in cui l’aggressore induce un utente a visitare un certo sito web che, una volta aperto, esegue del codice che innesca la vulnerabilità.

I problemi di IE appena corretti da Microsoft, che a seconda dei casi interessano IE5 e/o IE6, comprendono anche la nota vulnerabilità createTextRange() scoperta verso la fine di marzo e subito presa di mira da centinaia di siti contenenti exploit più o meno dannosi. Per fortuna, a dispetto delle previsioni di alcuni esperti di sicurezza, al momento non esiste alcun worm che ne tragga vantaggio. Nelle scorse settimane sono state rilasciate almeno un paio patch non ufficiali: tra queste c’è quella sviluppata da eEye Digital Security, che l’azienda afferma sia stata fino ad oggi scaricata oltre 150.000 volte.

Microsoft ha sempre suggerito agli utenti di non installare patch di sicurezza sviluppate da terze parti, ma secondo un recente sondaggio sembra che il 98% degli amministratori di sistema guardi con favore a questi workaround non ufficiali, specie se il problema che risolvono è particolarmente urgente.

Il bollettino MS06-014 riguarda un’altra nota vulnerabilità critica, questa volta relativa a Windows, a cui Punto Informatico aveva dedicato un approfondimento lo scorso febbraio. Si tratta di un bug che risiede nel controllo ActiveX RDS.Dataspace fornito come parte di ActiveX Data Objects (ADO) e distribuito in MDAC (Microsoft Data Access Components), una serie di componenti utilizzati da Windows per l’accesso ai database. La vulnerabilità è stata giudicata critica in tutte le versioni di Windows tranne che in Server 2003, dove il pericolo sarebbe solo “moderato”.

Tra le società che hanno collaborato con Microsoft allo sviluppo della patch per MDAC c’è l’italiana Yarix, la stessa che a febbraio aveva fornito a PI i primi dettagli sulla vulnerabilità.

“Si è scoperto che questa grave debolezza può consentire la scrittura di file e la modifica del registro di sistema all’insaputa dell’utente”, ha affermato Stefano Meller, amministratore delegato di Yarix.

“La vulnerabilità in MDAC rappresenta un problema grave”, ha fatto eco Monty Ijzerman, senior manager del Global Threat Group di McAfee AVERT Labs. “Può essere sfruttata con una minima attività di social engineering, senza richiedere alcuna interazione da parte dell’utente se non la visita di un sito web malevolo”.

Di seguito gli altri aggiornamenti di sicurezza.

Le falle di Windows, OE e FP

Una seconda falla critica di Windows, riguardante la shell del sistema operativo, è stata corretta da Microsoft con una patch contenuta nel bollettino MS06-015. Il baco si annida nel componente Esplora risorse e può consentire ad un aggressore di prendere il controllo del sistema da remoto. Il big di Redmond ha valutato il problema della massima gravità in tutte le versioni di Windows.

Gli ultimi due bollettini di sicurezza, l’MS06-016 e l’MS06-017, trattano rispettivamente di un aggiornamento cumulativo per Outlook Express e di una patch per FrontPage. Nel primo caso l’update risolve un bug “importante” nella gestione della rubrica di Windows da parte di OE 5.5 e 6.0 che, in certi casi, può aprire le porte ad attacchi da remoto. Nel secondo caso il fix corregge una vulnerabilità di tipo cross-site scripting nelle estensioni del server di FrontPage 2002 e di Microsoft SharePoint Team Services: anche in questo caso un cracker può potenzialmente sfruttare la falla per penetrare su di un sistema remoto, ma Microsoft ritiene che le probabilità che ciò avvenga siano molto ridotte.

“Secondo quanto emerso nell’ultimo Internet Security Threat Report, analisi semestrale condotta da Symantec sulla sicurezza della rete, il tempo trascorso tra il rilevamento della vulnerabilità e l’emissione della patch di sicurezza associata si è ridotto a soli 6 giorni”, ha commentato Mauro Toson, Country Pre Sales Manager di Symantec. “In questo caso, tre delle vulnerabilità rilevate sono state sfruttate dagli hacker ancora prima che si riuscisse a distribuire le patch. Symantec consiglia agli utenti di Microsoft Windows, Internet Explorer e Outlook Express di aggiornare i propri software il prima possibile”.

Microsoft ha poi aggiornato alcune versioni della patch per Windows Media Player fornita con il bollettino MS06-005: l’aggiornamento, che riguarda Windows Media Player 10 installato in Windows XP Service Pack 1 o in Windows XP Service Pack 2, sistema alcuni problemi sorti dopo il rilascio della patch.

Come preannunciato, insieme agli ultimi aggiornamenti di sicurezza Microsoft sta distribuendo ai propri utenti anche la cosiddetta patch “anti-Eolas”, che modifica il comportamento di IE relativo alla gestione dei controlli ActiveX. Su queste modifiche Macromedia ha recentemente dedicato una FAQ in cui spiega, anche attraverso un video in Flash, cosa cambia per gli utenti.

Il gigante di Redmond ha infine aggiornato il proprio Malicious Software Removal Tool, ora in grado di rilevare i virus Locksky, Valla e Reatle.

Questo post tratto da: P.I.: Internet Explorer, tempo di megapatch

Back        Prossimo "Mancante"