Redmond (USA) – Con l’ormai tradizionale cadenza mensile che
caratterizza il rilascio dei suoi aggiornamenti di sicurezza,
Microsoft ha pubblicato
quattro patch che, in tutto, correggono 20 diverse vulnerabilità
di sicurezza: fra queste, 8 sono state classificate con il massimo
livello di severità. A memoria, il big di Redmond non aveva
mai rilasciato tanti fix in una sola volta.
La prima megapatch, descritta nel bollettino MS04-011 ,
corregge 14 falle di sicurezza che, a seconda del caso, interessano
una o più versioni di Windows: dal vetusto 98 fino al giovane
Server 2003. La maggior parte dei bug permette l’esecuzione di codice
da remoto o l’elevazione dei privilegi: fra i componenti interessati
da questo genere di problemi si trovano LSASS (Local Security
Authentication Server), PCT (Private Communication Transport),
Winlogon, Help and Support Center, Windows Metafile (WMF) e Enhanced
Metafile (EMF), ASN.1.
“Un aggressore che riuscisse a sfruttare le più gravi
fra queste vulnerabilità potrebbe acquisire il controllo
completo di un sistema, inclusa la possibilità di installare
programmi, visualizzare, modificare o cancellare i dati, o creare
nuovi account con privilegi completi”, si legge in un comunicato
di Network Associates.
La nota società di sicurezza eEye Digital Security, che ha
segnalato a Microsoft 6 delle 14 vulnerabilità di Windows, ha
avvisato che alcuni di questi bug potrebbero essere sfruttati da worm
simili al famigerato Blaster. Il CEO della società, Marc
Maiffret, ha di recente criticato Microsoft per lo scarso tempismo
con cui, a suo dire, risolve i problemi di sicurezza.
Il secondo bollettino di sicurezza di Microsoft, l’ MS04-012
descrive quattro vulnerabilità che interessano il componente
RPC/DCOM di Windows. La falla più seria riguarda l’RPC Runtime
Library e può consentire ad un aggressore di eseguire del
codice da remoto sui PC in cui gira Windows 2000, XP o Server 2003. A
seguire, in ordine di importanza, c’è un problema che affligge
l’RPCSS Service e che potrebbe rendere un sistema vulnerabile ad
attacchi di tipo denial-of-service.
La terza patch, trattata nel bollettino MS04-013 ,
corregge una vulnerabilità critica di Outlook Express 5.5 e
6.0. Secondo quanto spiegato da Microsoft, attraverso un URL MHTML
fatto in un certo modo un aggressore potrebbe riuscire ad eseguire
del codice contenuto in una e-mail HTML con gli stessi privilegi con
cui gira Internet Explorer. Questo può consentire ad un
cracker di prendere il completo controllo di un sistema vulnerabile.
A differenza delle precedenti patch, che contenevano solo i nuovi
fix, quella per Outlook Express è cumulativa e comprende tutte
le correzioni rilasciate in precedenza per le versioni 5.5 e 6.0.
L’ultimo aggiornamento di sicurezza, contraddistinto dal
bollettino MS04-014 ,
si applica al Microsoft Jet Database Engine ed è stato
classificato come “important”. Il motore Jet è
presente in molte versioni attualmente supportate di Windows, ma il
problema di sicurezza riguarda solo i sistemi operativi con Kernel NT
(NT4, 2000, XP, Server 2003). Il big di Redmond ha detto che un
aggressore potrebbe sfruttare la falla per prendere il pieno
controllo di un sistema, inclusa la possibilità di creare
nuovi account con pieni privilegi. Microsoft non ha assegnato alla
falla il grado di rischio più elevato a causa di alcuni
fattori mitiganti descritti all’interno del suo advisory.
In concomitanza con le quattro patch sopra descritte, Microsoft ha
pubblicato anche versioni aggiornate dei bollettini MMS00-082,
MS01-041, MS02-011 e MS03-046 riguardanti Exchange Server 5.0.
Microsoft ha fatto sapere che, in seguito al recente accordo con
Sun, ha esteso il supporto alla propria Java virtual machine (JVM)
per altri tre anni, fino al 31 dicembre 2007: questo significa che,
in questo arco di tempo, il big di Redmond continuerà a
rilasciare eventuali update di sicurezza. In precedenza la scadenza
del supporto era
stata fissata per il 30 settembre di quest’anno .