Esaminiamo i bollettini in due gruppi e incominciamo ad analizzare quelli correlati con la famiglia Windows. La matrice di rischio è raggiungibile cliccando sull'immagine che segue:

Diamo prima uno sguardo d'insieme: dei 9 bollettini presenti, solo 3 sono classificati come "Critical" e gli altri 6 sono classificati come "Important". Solo 2 delle 11 vulnerabilità erano già pubblicamente note prima del rilascio di ieri sera, ma non vi erano notizie di sfruttamenti attivi. Windows Vista non è interessato da queste vulnerabilità. Un focus sui 3 bollettini critici, alla luce dei principali parametri per l'analisi di rischio di cui detto nello scorso post, mostra un elemento importante di mitigazione: per tutti i privilegi sfruttabili sono quelli dell'utente loggato sul sistema, e quindi se si adotta il principio del "least privilege" nell'utilizzare utenze non privilegiate quando si opera su attività non amministrative (come navigare, leggere la posta, etc…) il rischio di subire un danno significativo da un attacco è notevolmente ridotto. Quindi in generale emerge una situazione di attenzione, ma non preoccupante per il momento.

Una scorsa veloce sui singoli bollettini, con aspetti degni di nota, in aggiunta a quanto già detto:

• MS07-005 (Interactive Training): severity legata al fatto che non è un prodotto nativo di Windows, e al vettore di attacco che richiede l'apertura volontaria del file di bookmark.
• MS07-006 (Shell) e MS07-007 (WIA): l'attacco richiede il logon interattivo e autenticato (ricordate che anche una sessione Terminal Services è di fatto un logon interattivo) per far girare un programmino ad-hoc e ed elevare i propri privilegi.
• MS07-008 (HTML Help ActiveX) e MS07-009 (MDAC): in entrambi i casi il problema risiede in ActiveX utilizzati a sproposito. La severity su Windows Server 2003 è ridotta grazie all'Enhanced Security Configuration di default in IE (se non è stata disabilitata…). Sono vulnerabilità serie in virtù del vettore di attacco che è rappresentato dai contenuti HTML.
• MS07-011 (OLE Dialog), MS07-012 (MFC), MS07-013 (RichEdit): sono vulnerabilità simili, tutte relative a oggetti OLE inclusi in file RTF che è necessario aprire volontariamente per subire l'attacco
• MS07-016 (IE): questa cumulativa di IE presenta le considerazioni classiche (che vi dirò man mano…); la severity ridotta per IE 6 su Windows Server 2003 è sempre per l'Enhanced Security Configuration come già detto. Quella per IE 7 per la feature di ActiveX Opt-in.

Una preghiera: se ritenete utili o assolutamente una perdita di tempo la tabella e queste analisi sintetiche, fate sentire esplicitamente il vostro parere, fate i vostri commenti, buoni o brutti che siano!