Scusate il ritardo: questo mese la concomitanza dell'evento Technet Security Day a Roma di ieri e il tradizionale Patch Tuesday (ormai è chiamato così il giorno di emissione dei bollettini di sicurezza) mi hanno creato qualche problema logistico, visto che non ho (ancora...;-) il dono dell'ubiquità ...

Come al solito fate riferimento al mio post N°10 per un background sull'approccio all'analisi di rischio e alla tabella seguente che sintetizza le 15 vulnerabilità corrette dai 6 bollettini:

Eccovi le considerazioni rilevanti per i bollettini di giugno.

• MS07-030 su Visio: nonostante le quattro caratteristiche delle 2 vulnerabilità che di solito analizziamo siano tali da meritare il rating Critical, il bollettino è classificato Important per la significativa interazione utente necessaria per realizzare compiutamente un attacco, che ha come vettore file di Visio malformati ad arte. Notate la non vulnerabilità di Visio 2007, la responsible disclosure (=vulnerabilità non note prima del rilascio dei bollettini), e la possibilità di usare i Viewer di Visio 2003 e Visio 2007 come workaround applicabile in attesa dell'aggiornamento.
• MS07-031 su Schannel: è il componente che implementa i protocolli SSL/TLS; gli effetti della vulnerabilità sono variabili a seconda delle versioni di sistema operativo: su Windows XP è un Remote Code Execution, su Windows 2000 e Windows Server 2003 è un Denial Of Service. In realtà anche per Windows XP è più probabile che un tentativo di attacco si traduca in un DoS, che richieda il restart del sistema per poter nuovamente navigare. Notate la non vulnerabilità di Windows Vista, la responsible disclosure e l'assenza di workaround.
• MS07-032 su Windows Vista: la criticità è classificata Moderate in conseguenza del fatto che la vulnerabilità, di tipo Information disclosure, richiede di fatto il logon locale, quindi con una utenza validasul sistema, per poter cercare di carpire le informazioni sensibili: essendo Windows Vista un sistema operativo client questo è molto meno probabile rispetto ad un sistema server.  Notate  la responsible disclosure e l'assenza di workaround.
• MS07-033 su Internet Explorer: classica cumulativa di IE (ricordate quindi che include tutte le precedenti di IE, comprese le diverse modifiche di funzionalità che si sono succedute nel tempo) che risolve 6 vulnerabilità, di cui una è di tipo Spoofing (ossia la possibilità di far vedere un contenuto web diverso da quello dichiarato, in particolare nella pagina di Navigation canceled), di criticità Moderate per la necessaria interazione richiesta all'utente, ma già nota pubblicamente.
• MS07-034 su Outlook Express e Windows Mail: è una cumulativa per Outlook Express che risolve 4 vulnerabilità. E' un bollettino bivalente: per Windows Vista è critico a causa della vulnerabilità CVE-2007-1658 già nota pubblicamente (una modifica di progetto da Outlook Express a Windows Mail ha prodotto un funzionamento inatteso che non è stato colto dall'SDL: la risoluzione di questa vulnerabilità porterà all'aggiornamento delle checklist di verifica dell'SDL); per le altre versioni interessate la criticità è inferiore perché le altre 3 vulnerabilità sono di tipo Information disclosure.
• MS07-035 su Win32 API: il rating Critical è giustificato dal fatto che la funzione delle Win32 API interessata dalla vulnerabilità è utilizzata da Internet Explorer per fare il parsing di alcune particolari pagine web e quindi la navigazione espone al rischio di attacco. Fortunatamente i privilegi sfruttabili sono quelli dell'utente loggato e la vulnerabilità è stata segnalata con responsible disclosure. Da notare che Windows Vista è l'unica versione non interessata dalla vulnerabilità.

Ricordo che in corrispondenza dei bollettini viene anche pubblicato un articolo della Microsoft Knowledge Base che documenta con dovizia di particolari tutte le informazioni a supporto del rilevamento e del deployment delle patch: quello di questo mese lo trovate qui.