www.MegaLab.it

A quanto pare la patch rilasciata la settimana scorsa è stata solo un'anteprima di quello che Microsoft aveva approntato per questo mese. Sono disponibili per questo mese altri due aggiornamenti, entrambi di priorità critical, che chiudono altrettante falle nei sistemi Windows ed Exchange.

Chi è al sicuro

Con tutta probabilità chi utilizza Firefox per navigare il web e Thunderbird come gestore di posta elettronica è automaticamente protetto da entrambe le debolezze emerse questo mese, e non è obbligato ad installare gli aggiornamenti.

Lato server invece segnaliamo un problema in Microsoft Exchange: in caso sul sistema fosse in uso un altro prodotto, il sistema non è compromesso.

Vulnerability in Embedded Web font... (MS06-002)

Un problema nella gestione di alcuni font scaricati dalla rete permette ad un utente ostile di creare una pagina HTML che, se visualizzata su un sistema insicuro, causa l'esecuzione di codice da remoto, e permettere quindi ad un cracker di prendere pieno controllo del sistema compromesso.

La falla interessa tutte le versioni di Windows, comprese le vecchie Windows 98/98SE/ME: trattandosi di una falla classificata con il massimo livello di priorità, Microsoft rilascerà a breve un aggiornamento anche per questi (ormai obsoleti) sistemi operativi.

Non si salvano nemmeno Windows XP Service Pack 2 con tutte le patch applicate, o Windows Server 2003 con Service Pack già installato.

Purtroppo le notizie disponibili riguardo a questa debolezza sono piuttosto poche, e non è possibile capire se la falla interessa solamente Internet Explorer oppure tutto il sistema operativo: da una rapida occhiata al all'analisi rilasciata da Piotr Bania sembrerebbe che si tratta di una falla che interessa il solo browser Microsoft: utilizzare un navigatore alternativo, come Opera oppure Firefox, parrebbe quindi sufficiente per mettersi al riparo dalla debolezza, ma la cosa non è certa.

Non specificare se si tratta di un problema di IE o dell'intero sistema operativo non permette una giusta valutazione dei rischi: benché profondamente integrato in Windows, Internet Explorer è pur sempre una parte accessoria del sistema, e sarebbe bene discernere in modo più chiaro problemi dell'uno o dell'altro.

• Windows 2000 ITA
• Windows XP ITA
• Bollettino Microsoft e altri download

Vulnerability in TNEF Decoding... (MS06-003)

La seconda falla di questo mese interessa invece Microsoft Outlook (in versione 2000, XP o 2003) ed il mail server Microsoft Exchange 5.0, 5.5 e 2000 (la 2003 risulta immune).

Questi prodotti soffrono infatti di una debolezza causata da una mancata validazione dell'input da parte della funzionalità Transport Neutral Encapsulation Format (TNEF), una tecnologia proprietaria Microsoft che permette di gestire le e-mail formattate con effetti tipografici (grassetto, sottolineato eccetera).

Sfruttando questo errore, un cracker potrebbe spedire un messaggio e-mail malformato che permetterebbe di eseguire codice da remoto su un server Exchange non protetto o su un sistema in cui fosse utilizzato Outlook come gestore della posta.

Ancora una volta quindi niente da cliccare: basta non aggiornare il computer per ritrovarselo compromesso.

Come dicevamo in apertura, chi utilizzasse soluzioni software diverse da Outlook ed Exchange è al sicuro, e non è tenuto ad installare gli aggiornamenti. Per tutti gli altri invece si tratta di un update prioritario.

• Bollettino Microsoft e download delle patch