hit counter
Security Advisory 944653 relativo al driver SECDRV.SYS di Macrovision - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Security Advisory 944653 relativo al driver SECDRV.SYS di Macrovision

Security Advisory 944653 relativo al driver SECDRV.SYS di Macrovision

  • Comments 3
  • Likes

Post per avvisarvi dell'emissione del Microsoft Security Advisory 944653 – Vulnerability in Macrovision SECDRV.SYS Driver on Windows Could Allow Elevation of Privilege. Solo la versione del driver distribuita in Windows XP e Windows Server 2003 (tutte le versioni attualmente supportate) è vulnerabile, mentre non lo è quella presente in Windows Vista. Come indicato dal titolo dell'advisory, la vulnerabilità è di tipo Elevation of Privilege, quindi richiede un accesso locale con credenziali valide per il logon per poter effettuare un attacco (di cui si ha notizia in situazioni limitate). Questo advisory è per certi versi speciale: il componente in questione è un driver di una società terza, Macrovision, che Microsoft redistribuisce all'interno di Windows, e questa situazione fa di entrambi i produttori i legittimi fornitori di questo software. Ora noterete che Macrovision stia subito rendendo disponibile un aggiornamento di sicurezza per correggere la vulnerabilità e aggiornare il driver, mentre Microsoft dichiari di provvedere al rilascio dello stesso secondo il suo normale processo mensile di aggiornamento al termine della fase di analisi, creazione e test della patch. So che questa situazione potrà generare perplessità, ma mostra in modo ora inequivocabile cosa ci sia dietro il processo di patching della piattaforma Windows. come più volte ho provato a spiegarvi. Capite benissimo che la soluzione del bug sia già lì, già realizzata da entrambi visto che stanno collaborando all'analisi, tant'è che Macrovision ha realizzato il suo aggiornamento di sicurezza. Ma basta questo per considerarlo per Microsoft un suo aggiornamento di sicurezza ? Serve completare l'analisi (per capire se per esempio esistono diverse modalità di sfrutttamento della vulnerabilità) e serve completare il testing della patch per garantire la migliore qualità possibile della stessa rispetto al rischio reale che stanno correndo i clienti. Questo trade-off (compromesso tra qualità e urgenza) è valutato dinamicamente e costantemente dal processo interno di risposta alle emergenze di sicurezza software denominato appunto SSIRP (Software Security Incident Response Plan), ed è questo che guida l'emissione o meno di una patch di sicurezza. Un altro aspetto che fa una sostanziale differenza tra la patch fornita da Macrovision e quella che verrà fornita da Microsoft è relativo alle modalità di aggiornamento: quella di Macrovision richiede un intervento manuale per decomprimere il file .zip e installare l'eseguibile con i privilegi amministrativi. La patch che Microsoft renderà disponibile sarà veicolata in modo da essere distribuita su un numero elevato di sistemi secondo i diversi strumenti automatici a disposizione del cliente. Quindi per una situazione di rischio reale e imminente il cliente è invitato ad usare la patch di Macrovision, altrimenti è preferibile attendere l'emissione schedulata mensile delle patch Microsoft per una distribuzione di massa sicuramente più agevole e per una qualità più accurata.

Aggiornamento dell'8/11/2007: ieri l'advisory è stato aggiornato per includere una spiegazione di cosa sia il driver SECDRV.SYS (lo trovate nelle FAQ) e un workaround utile per proteggere il sistema in attesa della patch Microsoft (che consiste nel modificare una chiave di registry per disabilitare il driver in questione).

Comments
  • Bella questa emissione mensile prevista per martedì prossimo 13 novembre (dettaglio alla relativa pagina

  • L'ultimo appuntamento  dell'anno delle emissioni mensili dei bollettini di sicurezza riserva 7 bollettini

  • Spero che qualcuno legga questo commento, perchè non ci sto + a capi niente...

    Avg rileva che secdrv.sys è un virus I-worn/nulprot.W(che personalmente non so bene cosa sia,ma è un virus e tanto mi basta)

    ho letto vari post di vari siti,ma nessuno fa riferimento a ciò.

    sono andato sul sito della macrovision e sul sito della microsoft e nessuno dei due ne sa niente..tant'è che uso vista ed entrambe le società dicono che il problema del secdrv non rigurda vista.

    che devo fare?

    come mi devo comportare?

    Grazie in anticipo per la risposta

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment