Il bollettino di sicurezza 2010 di Microsoft

Le nuove patch di Microsoft per le minacce web del 2010

Il 2010, per Microsoft, comincia con un bollettino di sicurezza relativo ad una vulnerabilità “critica” nell’OpenType Font Engine di Windows. Nello specifico, l’ MS10-001, è la speranza per gli utenti di eludere tali vulnerabilità. Secondo gli esperti, i rischi relativi a queste minacce sono davvero preoccupanti: infatti l’aggressore, può essere in grado addirittura di ottenere il pieno controllo del sistema non protetto.

Informazioni sulle patch

Microsoft inizia l’anno con un solo bollettino di sicurezza: l’MS10-001, il quale risolve una vulnerabilità “critica” nell’OpenType Font Engine di Windows. Microsoft spiega che un malintenzionato potrebbe creare dei contenuti basati sui font Embedded OpenType (EOT) che, una volta aperti con un’applicazione compatibile (Internet Explorer, PowerPoint o Word), sono in grado di eseguire un codice a sua scelta o addirittura, nel peggiore dei casi, l’aggressore può ottenere il pieno controllo del sistema vulnerabile. Ancora una volta Microsoft raccomanda ai propri utenti di utilizzare account con privilegi limitati, così da ridurre il rischio alle vulnerabilità più gravi.

Questo aggiornamento per la protezione è considerato di livello critico per Windows 2000 e di livello basso per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Le versioni di Windows, da XP in poi, pur contenendo il codice vulnerabile – non lo utilizzano in modo tale da esporsi completamente allo sfruttamento della vulnerabilità – si legge nel bollettino di BigM. Microsoft, comunque, non sa se il codice vulnerabile viene utilizzato da componenti di terze parti, anche se questo è teoricamente possibile.

L’Internet Storm Center suggerisce, agli utenti di sistemi client, di applicare la patch di Microsoft non appena possibile: potrebbe essere solo questione di ore prima che sul Web inizino a circolare contenuti maligni capaci di far leva su questo bug. Maggiori informazioni sul problema vengono forniti in un blog del Microsoft Security Response Center. Microsoft aveva già corretto alcune serie vulnerabilità legate ai font EOT con i bollettini dello scorso novembre.

In questo advisory, il big di Redmond, ha inoltre sollecitato i suoi utenti ad aggiornare quanto prima la versione di Flash Player inclusa in Windows XP, dove anche di recente sono stati scoperti bug di sicurezza molto gravi.

Le patch di Adobe

Adobe, nel suo primo advisory dell’anno, afferma di aver identificato diverse vulnerabilità zero-day in Adobe Reader 9.2 e Acrobat 9.2 per Windows, Macintosh e UNIX, nonché in Adobe Reader 8.1.7 e Acrobat 8.1.7 per Windows e Mac. Queste vulnerabilità – si apprende dall’advisory – possono causare il crash dell’applicazione e potrebbero consentire ad un aggressore di prendere il controllo del sistema interessato.

Adobe raccomanda ai propri utenti di installare immediatamente le nuove versioni aggiornate di Reader e Acrobat, la 9.3 e la 8.2 (quest’ultima è riservata a chi, per varie ragioni, non può o non desidera migrare alla più recente 9.3). Gli aggiornamenti possono essere fatti attraverso il sistema automatico incluso nelle applicazioni di Adobe o, manualmente, scaricandoli dal web. Gli esperti di sicurezza suggeriscono altresì agli utenti di disattivare l’esecuzione di codice JavaScript, una caratteristica spesso sfruttata dai cracker per trarre vantaggio dalle falle di Reader e Acrobat.

Le patch di Oracle

Il Critical Patch Update Advisory di gennaio, pubblicato da Oracle, contiene 24 fix di sicurezza relativi alla quasi totalità dei prodotti dell’azienda statunitense, inclusi i suoi database, gli application server, l’E-Business Suite, la Primavera Suite e la piattaforma PeopleSoft. Buona parte delle vulnerabilità corrette da Oracle possono essere sfruttate a distanza senza la necessità di autenticarsi sul server remoto, il che le rende particolarmente insidiose.

 

Leave a Reply