Punto informatico Network
20080829213419

Bollettino Microsoft - Gennaio 2006

16/01/2006
- A cura di
Zane.
Archivio - Due nuove patch completano il bollettino Microsoft per gennaio. Prioritarie in caso di software Microsoft, tralasciabili per chi utilizzasse prodotti alternativi.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 140 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

A quanto pare la patch rilasciata la settimana scorsa è stata solo un'anteprima di quello che Microsoft aveva approntato per questo mese. Sono disponibili per questo mese altri due aggiornamenti, entrambi di priorità critical, che chiudono altrettante falle nei sistemi Windows ed Exchange. Ms_winupdate.gif

Chi è al sicuro

Con tutta probabilità chi utilizza Firefox per navigare il web e Thunderbird come gestore di posta elettronica è automaticamente protetto da entrambe le debolezze emerse questo mese, e non è obbligato ad installare gli aggiornamenti.

Lato server invece segnaliamo un problema in Microsoft Exchange: in caso sul sistema fosse in uso un altro prodotto, il sistema non è compromesso.

Vulnerability in Embedded Web font... (MS06-002)

Un problema nella gestione di alcuni font scaricati dalla rete permette ad un utente ostile di creare una pagina HTML che, se visualizzata su un sistema insicuro, causa l'esecuzione di codice da remoto, e permettere quindi ad un cracker di prendere pieno controllo del sistema compromesso.

La falla interessa tutte le versioni di Windows, comprese le vecchie Windows 98/98SE/ME: trattandosi di una falla classificata con il massimo livello di priorità, Microsoft rilascerà a breve un aggiornamento anche per questi (ormai obsoleti) sistemi operativi.

Non si salvano nemmeno Windows XP Service Pack 2 con tutte le patch applicate, o Windows Server 2003 con Service Pack già installato.

Purtroppo le notizie disponibili riguardo a questa debolezza sono piuttosto poche, e non è possibile capire se la falla interessa solamente Internet Explorer oppure tutto il sistema operativo: da una rapida occhiata al all'analisi rilasciata da Piotr Bania sembrerebbe che si tratta di una falla che interessa il solo browser Microsoft: utilizzare un navigatore alternativo, come Opera oppure Firefox, parrebbe quindi sufficiente per mettersi al riparo dalla debolezza, ma la cosa non è certa.

Non specificare se si tratta di un problema di IE o dell'intero sistema operativo non permette una giusta valutazione dei rischi: benché profondamente integrato in Windows, Internet Explorer è pur sempre una parte accessoria del sistema, e sarebbe bene discernere in modo più chiaro problemi dell'uno o dell'altro.

Vulnerability in TNEF Decoding... (MS06-003)

La seconda falla di questo mese interessa invece Microsoft Outlook (in versione 2000, XP o 2003) ed il mail server Microsoft Exchange 5.0, 5.5 e 2000 (la 2003 risulta immune).

Questi prodotti soffrono infatti di una debolezza causata da una mancata validazione dell'input da parte della funzionalità Transport Neutral Encapsulation Format (TNEF), una tecnologia proprietaria Microsoft che permette di gestire le e-mail formattate con effetti tipografici (grassetto, sottolineato eccetera).

Sfruttando questo errore, un cracker potrebbe spedire un messaggio e-mail malformato che permetterebbe di eseguire codice da remoto su un server Exchange non protetto o su un sistema in cui fosse utilizzato Outlook come gestore della posta.

Ancora una volta quindi niente da cliccare: basta non aggiornare il computer per ritrovarselo compromesso.

Come dicevamo in apertura, chi utilizzasse soluzioni software diverse da Outlook ed Exchange è al sicuro, e non è tenuto ad installare gli aggiornamenti. Per tutti gli altri invece si tratta di un update prioritario.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2024 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.19 sec.
    •  | Utenti conn.: 19
    •  | Revisione 2.0.1
    •  | Numero query: 42
    •  | Tempo totale query: 0