Cerottoni per Office e Windows

Sette bollettini di sicurezza per un totale di 18 vulnerabilità corrette. Questo l'ultimo bilancio mensile della guerra condotta da Microsoft contro i famigerati bug di sicurezza

Redmond (USA) – Con l’ultima tornata di patch, Microsoft ha corretto un totale di 18 falle di sicurezza in alcuni suoi software di punta, ed in particolare in Office e Windows. Quasi la metà delle correzioni riguarda Excel, un’applicazione in cui nell’ultimo mese sono venute a galla alcune vulnerabilità piuttosto serie, due delle quali già sfruttate dai cracker.

Il bollettino relativo ad Excel, l’ MS06-037 , sostituisce il precedente MS06-12 e corregge un totale di otto vulnerabilità: tutte possono essere sfruttate mediante la creazione di documenti malformati che, quando aperti dall’utente, causano il crash del programma ed eseguono del codice potenzialmente dannoso. Nei casi più gravi l’aggressore potrebbe arrivare ad ottenere il pieno controllo del sistema vittima.

Le falle di Excel interessano le edizioni 2000, XP, 2003 e v.X per Mac di Office, ma sono considerate “critiche” solo in Office 2000 e “importanti” in tutti gli altri casi: la versione di Outlook integrata in questa suite, infatti, non richiede all’utente di scegliere Apri , Salva o Annulla prima di aprire un documento.

Le cinque vulnerabilità di Office sono descritte nei bollettini MS06-038 e MS06-039 . Anche in questo caso le falle possono essere sfruttate mediante la creazione di file non validi (tra cui immagini GIF e PNG), e sono giudicate “critiche” solo in Office 2000 e “importanti” o “moderate” nelle altre edizioni di Office (XP e 2003).
Un aggressore potrebbe trarre vantaggio da questi problemi per eseguire del codice da remoto ed eventualmente ottenere il pieno controllo del sistema. I problemi corretti nel bollettino MS06-039 interessano anche le edizioni 2000-2006 di Works Suite, mentre non interessano le versioni di Office per Mac. Al contrario, il bollettino MS06-038 riguarda anche Office per Mac ma non Works Suite.

Il bollettino MS06-035 descrive due differenti vulnerabilità di Windows: una, relativa alla possibilità che qualcuno intercetti informazioni personali in SMB, ha un fattore di rischio basso, mentre l’altra, riguardante il meccanismo di temporizzazione mailslot , viene considerata da Symantec e McAfee la falla più grave di giugno. Il problema, che affligge Windows 2000, XP e Server 2003, potrebbe essere sfruttato da un cracker per inviare ad un sistema vulnerabile dei pacchetti di rete malformati in grado di innescare un errore heap overflow: un attacco di questo tipo può consentire all’aggressore di prendere il pieno controllo del sistema vittima. A rendere questa debolezza particolarmente insidiosa c’è il fatto che non richiede alcuna interazione da parte dell’utente, rendendola dunque utilizzabile da worm e altri tipi di malware in grado di autopropagarsi.

A mitigare la pericolosità di questa falla interviene il fatto che, di default, Windows XP SP2 e Windows Server 2003 SP1 non hanno servizi attivi che utilizzino la funzione mailslot; inoltre i tentativi di attacco si possono prevenire bloccando con un firewall la porta TCP/445. Microsoft ha anche aggiunto che “i tentativi di sfruttamento di questa vulnerabilità provocherebbero quasi sicuramente una condizione di denial of service causata da un riavvio imprevisto del sistema interessato, piuttosto che l’esecuzione di codice in modalità remota”.

Un seconda falla critica di Windows, contemplata nel bollettino MS06-036 , si cela all’interno del servizio DHCP (Dynamic Host Configuration Protocol). Un malintenzionato potrebbe innescare il bug inviando ad un client una richiesta DHCP malformata che, una volta elaborata, genera l’esecuzione di codice maligno. Il problema interessa le molte aziende che utilizzano il servizio di assegnazione dinamica degli indirizzi IP, ma la sua portata è comuqne ridotta: l’host da cui parte l’attacco deve infatti trovarsi nella stessa sottorete in cui si trova la vittima.

I due bollettini classificati “importanti”, l’ MS06-033 e l’ MS06-034 , sistemano una falla nel MS.NET Framework 2.0 ed una in Internet Information Services: nel primo caso il problema riguarda ASP.NET, e potrebbe consentire ad un aggressore di accedere al contenuto della cartella delle applicazioni contenuta nel server web; nel secondo caso il problema interessa IIS 5/6 e potrebbe consentire ad un utente malevolo, dotato di credenziali di accesso valide, di assumere il controllo del server.

Oltre che manualmente, seguendo i link contenuti nei vari bollettini di sicurezza, le patch possono essere scaricate attraverso il sito Microsoft Update o la funzione Aggiornamenti automatici di Windows.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Live.che?
    Altro pozzo che inghiottirà i soldi di MS come le console, una caterva di siti e portali con una caterva di nomi meno indovinati di Yahoo e Googlee un denominatore comune: privi di appeal.
    • Anonimo scrive:
      Re: Live.che?
      - Scritto da:
      Altro pozzo che inghiottirà i soldi di MS come le
      console, una caterva di siti e portali con una
      caterva di nomi meno indovinati di Yahoo e
      Google
      e un denominatore comune: privi di appeal.Ballmer ha perso il tocco magico: ora diversifica le perdite! (idea)(idea)(idea)(rotfl)(rotfl)(rotfl)Però intanto, per andare sul sicuro, vende azioni MS e ne compra di Google, non si sa mai... O) O) O)
  • scribble scrive:
    "su server microsoft"
    ma... mettere i dati di un CRM su di un server sul quale non si ha alcun controllo non è un po' pericoloso? E soprattutto, per la legge sulla privacy italiana, non è illegale?
    • Anonimo scrive:
      Re: "su server microsoft"
      - Scritto da: scribble
      ma... mettere i dati di un CRM su di un server
      sul quale non si ha alcun controllo non è un po'
      pericoloso? E soprattutto, per la legge sulla
      privacy italiana, non è
      illegale?Il CRM è anche un prodotto che si può installare su un server "locale". Comunque per la legge italiana non è un problema. Se così fosse molte aziende che hanno sistemi di posta esterni o applicativi in outsourcing (es.: le banche) sarebbero fuorilegge.Invece questa mi sembra una buona soluzione. Se sei una aziendina che vuole 2 o 3 postazioni compri questo servizio e, tramite un partner, lo customizzi.
  • Anonimo scrive:
    E gli sparagestionaliVB?
    Saranno forse spazzati via dal loro stesso padrone?
    • Anonimo scrive:
      Re: E gli sparagestionaliVB?
      - Scritto da:
      Saranno forse spazzati via dal loro stesso
      padrone?Con .NET puoi sparare gestionali web in VB
      • Anonimo scrive:
        Re: E gli sparagestionaliVB?
        - Scritto da:

        - Scritto da:

        Saranno forse spazzati via dal loro stesso

        padrone?

        Con .NET puoi sparare gestionali web in VBNon hai mai provato a usare il wizard di .net per convertire un gestionale VB vero ?Fai prima a rifarlo.
        • Anonimo scrive:
          Re: E gli sparagestionaliVB?
          - Scritto da:

          - Scritto da:



          - Scritto da:


          Saranno forse spazzati via dal loro stesso


          padrone?



          Con .NET puoi sparare gestionali web in VB

          Non hai mai provato a usare il wizard di .net per
          convertire un gestionale VB vero
          ?
          Fai prima a rifarlo.Ma cosa c'entra con il CRM questo discorso?
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?
            - Scritto da:
            - Scritto da:

            - Scritto da:


            - Scritto da:



            Saranno forse spazzati via dal loro stesso



            padrone?


            Con .NET puoi sparare gestionali web in VB

            Non hai mai provato a usare il wizard di .net

            per convertire un gestionale VB vero ?

            Fai prima a rifarlo.
            Ma cosa c'entra con il CRM questo discorso?Niente, quello e' l'altro sotto tread.
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?
            Niente,il linaro ha già dei format di pregiudizi da fare copia/incolla... non guarda minimamente l'argomento- Scritto da:

            - Scritto da:



            - Scritto da:





            - Scritto da:



            Saranno forse spazzati via dal loro stesso



            padrone?





            Con .NET puoi sparare gestionali web in VB



            Non hai mai provato a usare il wizard di .net
            per

            convertire un gestionale VB vero

            ?

            Fai prima a rifarlo.

            Ma cosa c'entra con il CRM questo discorso?
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?
            - Scritto da:
            Niente,
            il linaro ha già dei format di pregiudizi da
            fare copia/incolla... non guarda minimamente
            l'argomentoIl linaro non fa copia / incolla, KDE non lo supporta su tutte le applicazioni !(troll2)
            - Scritto da:

            - Scritto da:


            - Scritto da:



            - Scritto da:




            Saranno forse spazzati via dal loro stesso




            padrone?







            Con .NET puoi sparare gestionali web in VB





            Non hai mai provato a usare il wizard di .net

            per


            convertire un gestionale VB vero


            ?


            Fai prima a rifarlo.



            Ma cosa c'entra con il CRM questo discorso?
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?
            - Scritto da:
            - Scritto da:

            Niente,

            il linaro ha già dei format di pregiudizi da

            fare copia/incolla... non guarda minimamente

            l'argomento

            Il linaro non fa copia / incolla, KDE non lo
            supporta su tutte le applicazioni
            !

            (troll2)meno male il (troll2)
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?

            Il linaro non fa copia / incolla, KDE non lo
            supporta su tutte le applicazioni
            !

            (troll2)Ma che c***o dici? Ma lo hai mai usato KDE? Ma stattene zitto trollone.... Eppoi chissà qui chi ha nominato Linux in una discussione sul gestionale e sul CRM (che manco sapete cosa siano). Ve lo sognate pure la notte il pinguino eh?
          • Anonimo scrive:
            Re: E gli sparagestionaliVB?

            Ve lo sognate pure la notte il pinguino eh?in effetti il giorno che alla pecora si volteranno e non vedranno piu steve panza ballmer ma un essere piumato e dotatissimo gli incubi e i desideri del loro piu profondo inconscio diventeranno realtà
    • Anonimo scrive:
      Re: E gli sparagestionaliVB?
      Si parla di CRM. Inoltre la customizzazione verrà effettuata dai partner.
      • Anonimo scrive:
        Re: E gli sparagestionaliVB?
        - Scritto da:
        Si parla di CRM. Inoltre la customizzazione verrà
        effettuata dai
        partner.un bel cesso allora.già lo sparagestionale (in genere) "programma" in VB (fastidio) in più verrà fatto per macchine remote (uteriore fastidio) e in pù i programmi potranno essere customizzati dai partner (apice del fastidio);il tutto ovviamente senza che i tre vedano mai le sorgenti di quell'altro...in pratica pagano per un programma che non sanno neanche beno loro cosa fa.
        • Anonimo scrive:
          Re: E gli sparagestionaliVB?
          Semplicemente non sai di cosa stai parlando. Dovresti guardare/provare il CRM di Microsoft per capire.
Chiudi i commenti