Redmond (USA) – Dopo quella per Internet Information Server e la versione Windows di Internet Explorer, è ora tempo di megapatch anche per il Mac. Microsoft ha infatti rilasciato una patch cumulativa che fa fuori, in un sol colpo, tutte le vulnerabilità di sicurezza scoperte fino ad oggi in Internet Explorer 5.1 per Macintosh e Office v. X.
Oltre a tappare diverse falle già note, la megapatch mette fine a due nuove minacce, fra cui una classificata da Microsoft come “critica”.
Il problema più serio, attraverso cui un aggressore potrebbe essere in grado di mandare in crash il sistema o lanciare comandi arbitrari, riguarda un buffer overrun contenuto nel codice che gestisce alcuni elementi HTML. La falla, che interessa IE e Office, potrebbe essere sfruttata attraverso la creazione di pagine Web o e-mail HTML preparate in un certo modo.
Il problema, considerato da Microsoft di particolare gravità soprattutto in IE, Outlook Express 5.0.2 ed Entourage 2001/v. X, è stato scoperto lo scorso gennaio dalla AngryPacket Security e, poco tempo dopo, riportato nuovamente all’attenzione del big di Redmond dal gruppo di sicurezza w00w00 . Quest’ultimo ha anche lamentato l’estrema lentezza con cui Microsoft avrebbe sviluppato la patch, di fatto rilasciata oltre tre mesi dopo la prima segnalazione. Microsoft si è però difesa sostenendo che, oltre ad esserci state alcune incomprensioni iniziali, questa è una delle patch più complesse che abbia mai dovuto sviluppare per via dell’elevato numero di applicazioni (11) e di localizzazioni in gioco (12).
La seconda nuova vulnerabilità corretta dalla megapatch è invece di più modesta entità e riguarda questa volta solo IE 5.1 per Mac OS 8 e 9. La debolezza qui consiste nel fatto che, attraverso una pagina Web, è possibile lanciare in automatico un AppleScripts che si già si trovi sul disco locale. Il fattore mitigante è che l’eventuale aggressore deve conoscere l’esatta locazione del file e non può in alcun modo scaricarne di suoi.
Per scaricare la patch, chiamata da Microsoft “Microsoft Office v. X Combined Updater 10.0.3”, gli utenti Mac possono utilizzare il servizio Aggiornamento Software oppure scaricarla manualmente dal sito Mactopia , dove però, al momento in cui si scrive, compare solo la versione in inglese. Queste vulnerabilità vengono trattate nel Microsoft Security Bulletin MS02-019 .
Pochi giorni fa Apple ha rilasciato un aggiornamento, il 10.1.4, per Mac OS X Server. Il pacco, della dimensione di 440 KB, apporta alcune migliorie ai servizi di Mail. Può essere scaricato da qui .
Ti potrebbe interessare
18 apr 2002