Anche questo mese abbiamo "risparmiato" un bollettino rispetto a quanto annunciato lo scorso venerdì: c'è un bollettino in meno con rating Important che riguarda Windows (ma non chiedetemi su cosa ;-) rinviato ad altra emissione.

Lo sguardo di insieme di questa emissione mensile mi porta ad essere ancora una volta abbastanza ottimista sul livello generale di rischio (non è male il trend osservato negli ultimi mesi ...). Se osservate la matrice sinottica delle vulnerabilità noterete che quelle critiche e di tipo Remote Code Execution permettono di sfruttare solo i privilegi dell'utente loggato, la vulnerabilità su RPC che ha il vettore di attacco più pericoloso (appunto pacchetti di rete RPC) è "solo" sfruttabile per un Denial Of Service, solo 3 vulnerabilità su 9 già note pubblicamente in assenza generale di exploit, e le versioni più recenti dei vari prodotti meno interessate, in numero e gravità, rispetto alle versioni più vecchie. Una sola considerazione in più proprio per la vulnerabilità su RPC (bollettino MS07-058) che merita a mio personale parere una attenzione maggiore degli altre perché è in grado di causare il blocco del sistema attaccato e il suo ravvio: è auspicabile che i firewall esterni non abbiano le porte RPC aperte da/verso Internet (approfittate dell'occasione per controllare ...), ma questo non esclude la realizzazione di malware in grado di arrecare non pochi fastidi alla Intranet e quindi all'intera operatività aziendale.

Le considerazioni sui singoli bollettini:

• MS07-055 su Kodak Image Viewer: una sola vulnerabilità critica, non pubblica fino ad oggi, presente in modo nativo su Windows 2000 (SP4) e che interessa anche Windows XP (SP2) e Windows Server 2003 (SP1 ed SP2) solo nel caso in cui questi sistemi siano stati installati come aggiornamento di Windows 2000. Permetterebbe l'esecuzione da remoto di codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è rappresentato da file di immagini. Vi sono alcuni effetti mitiganti che riducono il rischio di attacco, come la visualizzazione delle cartelle nel formato classico di Windows (ossia quello che non cerca di fare la preview delle immagini), o la presenza di Office 2003 (il quale introduce un proprio viewer che si sostituisce a quello vulnerabile). 
• MS07-056 su Outlook Express e Windows Mail: una sola vulnerabilità relativa al protocollo NNTP (quello usato dal newsreader che è incluso in questi componenti di Windows) non pubblica fino ad oggi, che interessa tutte le piattaforme Windows attualmente supportate e permetterebbe l'esecuzione da remoto di codice non autorizzato nel contesto di sicurezza dell'utente loggato. La vulnerabilità è critica su tutte le versioni tranne che in Windows Vista, dove è Important: il Protected Mode di IE 7 forza una finestra di avvertimento che segnala il tentativo di accedere a Windows Mail da parte della pagina Web visualizzata.
• MS07-057 su Internet Explorer: classica cumulativa di IE (ricordate quindi che include tutte le precedenti patch di IE, comprese le diverse modifiche di funzionalità che si sono succedute nel tempo) che risolve 4 vulnerabilità, di cui 3 di tipo Spoofing (quindi permettono di visualizzare contenuto web non corrispondente a quanto visualizzato nella barra degli indirizzi) e una di tipo Remote Code Execution. Due vulnerabilità di tipo Spoofing erano note prima del rilascio del bollettino, ma senza l'evidenza di PoC o exploit. La sezione FAQ del bollettino segnala una nuova modifica di funzionalità relativa al trattamento del formato PNG da parte dell'algoritmo di mime sniffing (il meccanismo introdotto nel SP2 di Windows XP che cerca di capire in modo "intelligente" la vera natura degli allegati ricevuti nella pagina web), ora trattato alla pari dei formati JPG e GIF. 
• MS07-058 su Windows: una sola vulnerabilità relativa al protocollo RPC (usato dalla comunicazione di sistema tra processi client-server) non pubblica fino ad oggi, che interessa tutte le piattaforme Windows attualmente supportate e permetterebbe di effettuare un attacco di tipo Denial of Service (che causa il blocco del sistema e il suo ravvio) tramite l'invio di pacchetti di rete malformati all'interfaccia RPC. Il rating Important si giustifica dalla tipologia della vulnerabilità che non è di tipo Remote Code Execution.
• MS07-059 su Sharepoint: una sola vulnerabilità con rating Important già pubblica con evidenza di PoC, che interessa Windows Sharepoint Services 3.0 e Microsoft Office Sharepoint Server 2007 (MOSS), e permetterebbe il lancio di script in grado di essere eseguiti con i privilegi (di Sharepoint) dell'utente loggato su Sharepoint e di alterare la cache dell'utente. Il vettore di attacco è un link URL con incluso uno script di tipo Javascript.
• MS07-060 su Office: una sola vulnerabilità non pubblica fino ad oggi ma con evidenza di exploit, che interessa Microsoft Word per Office 2000 SP3 , Office XP SP3 e Office 2004 for Mac, e permetterebbe l'esecuzione da remoto di codice non autorizzato nel contesto di sicurezza dell'utente loggato, se questi aprisse esplicitamente un documento di Word opportunamente malformato.