Redmond (USA) – Microsoft ha rilasciato quattro patch di sicurezza, una in meno rispetto a quanto annunciato la scorsa settimana. La patch “mancante”, che per problemi non ancora noti è probabilmente slittata al prossimo mese, avrebbe dovuto correggere un problema in SharePoint Server, sfruttabile da un malintenzionato per elevare i propri privilegi.
Dei quattro bollettini di sicurezza pubblicati martedì sera, uno è classificato “critico” e gli altri “importanti”. Il primo, l’ MS07-051 , descrive una vulnerabilità nel componente Microsoft Agent di Windows 2000 legata al modo in cui vengono gestiti alcuni URL appositamente predisposti. Un cracker potrebbe creare una pagina Web che, una volta aperta con Internet Explorer, esegua del codice.
Il bollettino MS07-052 riguarda invece una falla in Crystal Report per Visual Studio che, nel caso in cui un utente apra un file RPT malformato, può consentire ad un cracker di eseguire del codice in modalità remota. Le edizioni di Visual Studio interessate dal problema sono la 2002, la 2003 e la 2005.
Il bollettino MS07-053 risolve un bug nelle versioni 3.x di Windows Services for UNIX contenute in tutte le versioni di Windows ancora supportate, dalla 2000 a Vista. La vulnerabilità è legata ad una non corretta gestione dei file binari con bit setuid , sfruttabili da un utente del sistema per elevare i propri privilegi. Microsoft sottolinea come Windows Services for UNIX non appartenga ai servizi installati di default.
Il bollettino che più interessa gli utenti consumer è l’ MS07-054 , perché riguarda una vulnerabilità piuttosto seria nelle versioni di MSN Messenger precedenti alla 7.0.0820 e in quelle di Windows Live Messenger precedenti alla 8.1. Il problema risiede nella possibilità, per un malintenzionato, di manipolare un invito chat video o tramite webcam in modo tale che, quando accettato, venga eseguito del codice sul PC della vittima.
“Microsoft consiglia ai clienti che utilizzano MSN Messenger 6.2 e MSN Messenger 7.0 in Microsoft Windows 2000 Service Pack 4 di aggiornare il sistema a MSN Messenger 7.0.0820 appena possibile. I clienti con altre piattaforme di Windows supportate che eseguono MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 o Windows Live Messenger 8.0 devono eseguire l’aggiornamento a Windows Live Messenger 8.1 appena possibile”, si legge nel bollettino. I più intraprendenti possono anche scaricare la versione beta in italiano di Windows Live Messenger 8.5, le cui novità sono sintetizzate in questo post .
Internet Storm Center avverte che della falla di Messenger, come di quella di Crystal Report, esistono già exploit pubblici .
Gli esperti di sicurezza hanno inoltre avvisato che la nuova versione del tool di cracking IcePack è già in grado di sfruttare una falla scoperta di recente nel DirectX SDK e tuttora priva di patch. La vulnerabilità è stata pubblicata lo scorso agosto sul sito milw0rm.com dal ricercatore polacco Krystian Kloskowski.
Ti potrebbe interessare
13 set 2007