QR code per la pagina originale

Microsoft, disponibili le patch di Febbraio

Microsoft ha messo a disposizione, come preannunciato, gli aggiornamenti di sicurezza relativi al bollettino mensile programmato per Febbraio. Alcune delle falle in risoluzione sono già sotto la minaccia di exploit disponibili in Rete

,

Sono 11 i bollettini messi a disposizione da Microsoft per il puntuale aggiornamento mensile di sicurezza. Tra i vari pacchetti 7 sono giudicati critici, 3 importanti ed uno di rilevanza moderata. Con gli avvisi di Febbraio giungono così a 15 gli aggiornamenti già usciti dai laboratori di Redmond nel 2005.

  • MS05-004
    Il problema, giudicato “importante”, coinvolge Microsoft .NET Framework sia nella versione 1.0 che nella versione 1.1. La falla consiste in un errore tale da permettere di bypassare la sicurezza ASP.NET ottenendo accessi senza autorizzazione;
  • MS05-005
    Il bollettino 005 identifica una vulnerabilità “critica” in Office XP (immuni Office 2000 e 2003) tale da ricreare le condizioni per un buffer overrun e per la conseguente esecuzione di codice da remoto;
  • MS05-006
    Il problema coinvolge Windows SharePoint Services e Windows SharePoint Team Services: il pericolo, giudicato “moderato” da Microsoft, è ascrivibile alla categoria dei cross-site scripting (concreto rischio spoofing). La necessaria interazione dell’utente funge da determinante fattore mitigante della pericolosità della falla;
  • MS05-007
    L’aggiornamento risolve un problema “importante” di Windows che permette di ottenere il nome dell’utente tramite una connessione aperta con una risorsa condivisa. Coinvolto anche Windows XP Service Pack;
  • MS05-008
    La vulnerabilità corretta nell’aggiornamento 008 concerne Windows Shell. In particolare va segnalato come, assieme all’aggiornamento 014, il bollettino contribuisca alla correzione delle cosiddetta “Drag-and-Drop Vulnerability”.
  • MS05-009
    La falla coinvolge i seguenti software: Windows Media Player, Windows Messenger ed MSN Messenger. Il problema è insito nell’interpretazione dei file PNG, è definito critico dalla stessa Microsoft e la segnalazione iniziale va ricondotta alla Core Security Technologies.
  • MS05-010
    L’aggiornamento 010 è definito critico e concerne il servizio di registrazione licenze di Windows. Coinvolte le versioni server di Windows NT 4.0, Windows 2003, Windows 2000 SP3 e Windows 2000 SP4;
  • MS05-011
    La vulnerabilità è stata riscontrata all’interno di Server Message Block (SMB) in Windows 2000, Windows XP, Windows XP 64-Bit e Windows Server 2003. La falla permette l’esecuzione dicodice da remoto.
  • MS05-012
    Il problema è stato riscontrato in Microsoft Windows, Microsoft Exchange Server, Microsoft Office ed in tutte le altre applicazioni che usano il componente Windows OLE (la lista continua con Outlook, Word, Excel, Frontpage, eccetera). Il problema è giudicato critico e tale da permettere il pieno controllo del sistema da remoto;
  • MS05-013
    Microsoft segnala pericolosità critica anche per la vulnerabilità identificata all’interno del controllo ActiveX del componente per la modifica del DHTML: il problema coinvolge Windows 2000, Windows 2003 e Windows XP (compreso il SP2) e permette l’esecuzione di codice da remoto;
  • MS05-014
    L’aggiornamento 014 è tra i più importanti distribuiti in Febbraio in quanto costituisce una vera e propria suite di aggiornamenti riferiti ad Internet Explorer. La pericolosità delle falle emerse è definita “critica”.
  • MS05-015
    L’ultimo aggiornamento di Febbraio risolve la vulnerabilità identificata nella libreria Hyperlink Object Library. Pericolosità critica e pericolo che potrebbe giungere da un semplice link appositamente costruito. Il click su tale link è necessario al fine di scatenare l’exploit e la necessaria interazione dell’utente è il principale fattore mitigante del problema.

Microsoft comunica come per alcune delle falle descritte sia già disponibile in Rete il relativo exploit (il problema coinvolge in particolare Internet Explorer): l’immediato aggiornamento è dunque condizione minima necessaria al fine di garantire lo stato di sicurezza del proprio sistema.

Notizie su: