Eccovi le considerazioni rilevanti per i bollettini di agosto, con il solito riferimento al mio post N°10 per un background sull'approccio all'analisi di rischio e alle tabelle seguenti che sintetizzano le 14 vulnerabilità corrette dai 9 bollettini.

Emerge come tutte le vulnerabilità siano state comunicate secondo l'approccio della responsible disclosure (e quindi non fossero note pubblicamente prima di oggi) e praticamente tutte meno una (il bollettino MS07-049), anche se tali da permettere l'esecuzione di codice autorizzato da remoto, siano caratterizzate dai privilegi sfruttabili solo pari a quelli dell'utente loggato: queste considerazioni di insieme permettono di caratterizzare questa corposa emissione mensile come non particolarmente preoccupante all'istante zero (inteso come momento di pubblicazione dei bollettini), sempre che le attività di aggiornamento riescano ad essere svolte con la sollecitudine che meritano.

• MS07-042 su XML Core Services: una sola vulnerabilità con rating Critical su praticamente tutte le piattaforme interessate (il rating Moderate per Windows Server 2003 è dovuto alla "Enhanced Security Configuration", la configurazione ristretta di Internet Explorer impostata by-default su questa versione di Windows). I privilegi sfruttabili dal codice non autorizzato sono quelli dell'utente loggato che deve essere indotto a visitare il sito pericoloso per subire l'attacco. E' utile poter consultare l'articolo 269238 per verificare quali applicazioni distribuiscano gli XML Core Services.
• MS07-043 su OLE Automation: le considerazioni sono di fatto le stesse del bollettino MS07-042, con l'unica differenza del componente vulnerabile (OLE Automation) e dei prodotti interessati (Windows Vista non è vulnerabile, mentre lo sono Office 2004 per Mac e Visual Basic 6 SP6).
• MS07-044 su Excel: una sola vulnerabilità con rating Critical dalle caratteristiche tipiche delle vulnerabilità di Office, che vedono la possibilità di sfruttare solo i privilegi dell'utente loggato, l'uso di un file Excel malformato come vettore di attacco da veicolare come allegato di e-mail (da aprire esplicitamente per essere attaccati) o posto su un sito web (dove analogamente viene richiesta conferma esplicita all'utente). Il recente tool di File Block di cui detto in questo post può aiutare come workaround di difesa. Office 2007 non è vulnerabile.
• MS07-045 su Internet Explorer: classica cumulativa di IE (ricordate quindi che include tutte le precedenti di IE, comprese le diverse modifiche di funzionalità che si sono succedute nel tempo) che risolve 3 vulnerabilità. La sezione FAQ del bollettino segnala le diverse nuove modifiche di funzionalità che questo aggiornamento introduce: di fatto sono le impostazioni di diversi KillBit per inibire l'attivazione di alcuni controlli ActiveX.
• MS07-046 su Graphic Rendering Engine: una sola vulnerabilità con rating Critical su praticamente tutte le piattaforme interessate (Windows Vista e Windows Server 2003 SP2 non sono vulnerabili). I privilegi sfruttabili dal codice non autorizzato sono quelli dell'utente loggato che deve essere indotto a visualizzare un'immagine artefatta in modo opportuno per subire l'attacco.
• MS07-047 su Windows Media Player: due vulnerabilità con rating Important su praticamente tutte le versioni di Windows Media Player supportate. I privilegi sfruttabili dal codice non autorizzato sono quelli dell'utente loggato che deve essere indotto ad aprire un file di skin di Windows Media Player, artefatto in modo opportuno per subire l'attacco. I file di skin sono distribuiti tramite file WMZ e WMD.
• MS07-048 su Windows Gadgets: tre vulnerabilità con rating Important per quella del gadget presente by-default e Moderate per le altre due. I privilegi sfruttabili dal codice non autorizzato sono quelli dell'utente loggato che deve essere indotto ad interagire con i tre gadget vulnerabili secondo le proprie modalità.
• MS07-049 su Virtual PC e Virtual Server: una sola vulnerabilità con rating Important che permetterebbe ad un utente provvisto di credenziali amministrative sul sistema operativo Guest (quello virtualizzato) di innalzare i propri privilegi riuscendo a prendere il controllo del sistema operativo Host, per mezzo dell'esecuzione di codice ad-hoc. Le ultime versioni, Virtual PC 2007 e Virtual Server 2005 R2 SP1, non sono vulnerabili.
• MS07-050 su Vector Markup Language: una sola vulnerabilità con rating Critical su praticamente tutte le piattaforme supportate di Windows. I privilegi sfruttabili dal codice non autorizzato sono quelli dell'utente loggato che deve essere indotto a visitare il sito pericoloso o a leggere una e-mail HTML per subire l'attacco.

Vi saluto, sperando che si possa, sia io che voi, continuare le ferie senza emergenze di sicurezza ...