QR code per la pagina originale

Microsoft rilascia due bollettini di sicurezza

Solo due bollettini di sicurezza rilasciati a settembre e relativi a vulnerabilità scoperte in software utilizzati dalle aziende.

,

Come anticipato per tradizione il venerdì antecedente il “patch day”, Microsoft ha rilasciato due bollettini di sicurezza relativi alle vulnerabilità individuate in software utilizzati in ambito aziendale. Dopo le 18 patch di luglio e agosto, per questo mese l’azienda di Redmond non ha pubblicato nessun aggiornamento per i sistemi operativi Windows. Gli utenti dovranno invece prestare attenzione al prossimo ciclo di update, in quanto la modifica alla gestione dei certificati potrebbe causare diversi problemi.

Entrambi i bollettini sono stati classificati come importanti e dunque le vulnerabilità individuate possono essere sfruttate da un malintenzionato per acquisire privilegi più elevati. Al momento però non sono stati segnalati attacchi. Il bollettino MS12-061 corregge un problema scoperto in Visual Studio Team Foundation Server 2010 Service Pack 1, mentre il bollettino MS12-062 risolve una vulnerabilità che affligge i software Microsoft Systems Management Server 2003 Service Pack 3 e Microsoft System Center Configuration Manager 2007 Service Pack 2.

In entrambi i casi, per sfruttare la vulnerabilità, il malintenzionato deve convincere le vittime a visitare un sito web creato appositamente, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

Dato il basso volume di aggiornamenti rilasciati, Microsoft consiglia si effettuare le opportune verifiche per ridurre al minimo i problemi che potrebbero nascere con l’aggiornamento in arrivo ad ottobre. Dopo l’installazione dell’update, Windows considererà inaffidabili tutti i certificati con chiave RSA minore di 1024 bit. Gli inconvenienti che gli utenti potrebbero riscontrare sono i seguenti:

  • Messaggi d’errore durante la navigazione verso siti web aventi certificati SSL con chiavi minori da 1024 bit;
  • Problemi di enrolling di certificati quando una richiesta prova ad utilizzare una chiave minore di 1024 bit;
  • Difficoltà nel creare od utilizzare messaggi email che utilizzano chiavi minori di 1024 bit per firmare o cifrare;
  • Difficoltà nell’installare controlli ActiveX firmati con un certificato avente una chiave minore di 1024 bit;
  • Difficoltà nell’installare applicazioni firmate con un certificato avente una chiave minore di 1024 bit.

L’aggiornamento relativo ai certificati si è reso necessario per impedire la diffusione di infezioni tramite Windows Update, utilizzando le tecniche adoperate dal malware Flame.