L'ultimo appuntamento  dell'anno delle emissioni mensili dei bollettini di sicurezza riserva 7 bollettini per un totale di 11 vulnerabilità, tutte relative alla famiglia Windows. Nonostante la corposa emissione, il colpo d'occhio generale rispetto all'analisi di rischio fornisce ancora una volta una impressione di relativa pericolosità, grazie ad una serie di fattori mitiganti: i 3 bollettini critici hanno privilegi sfruttabili limitati a quelli dell'utente loggato; dei 3 bollettini che prevedono di acquisire i privilegi di Local System solo il bollettino MS07-065 ha una serietà significativa (ma solo per i sistemi con Windows 2000 Server con MSMQ, quindi un impatto limitato), mentre gli altri due richiedono un attacco locale ed autenticato per innalzare i propri privilegi; solo 2 vulnerabilità delle 11 risolte erano già sfruttate da exploit prima di oggi, di cui quella di Macrovision di fatto già indirizzata da una patch della stessa Macrovision e quella di IE di fatto non resa nota pubblicamente.

In conclusione, si può ragionevolmente sperare in un Natale tranquillo.

La consueta matrice di rischio delle vulnerabilità è disponibile di seguito:

• MS07-063 sul protocollo SMBv2 di Windows Vista: è una singola vulnerabilità che permetterebbe l'esecuzione da remoto di codice non autorizzato nel contesto di sicurezza dell'utente locale. Chi attacca dovrebbe modificare ad-hoc i pacchetti di rete in una connessione che usi il protocollo SMBv2 con attiva la funzionalità di signing dei pacchetti: questa situazione si realizzerebbe solo tra sistemi Windows Vista e/o Windows Server 2008 (gli unici in grado di supportare la versione 2 di SMB), configurati in modo da richiedere il signing (non è l'impostazione di default in Windows Vista). Queste considerazioni contribuiscono a giustificare la classificazione Important della vulnerabilità.
• MS07-064 su DirectX di Windows: 2 vulnerabilità Critical che permetterebbero l'esecuzione da remoto di codice non autorizzato nel contesto di sicurezza dell'utente loggato. L'attacco si realizza tramite l'apertura volontaria di un allegato di email pericoloso o la navigazione su siti Web predisposti ad arte, in entrambi i casi in modo da attivare le funzionalità di streaming di DirectX: la prima vulnerabilità viene sfruttata tramite file di tipo SAMI (è una tecnologia per la sottotitolatura dei contenuti multimediali), la seconda vulnerabilità tramite file WAV e AVI.
• MS07-065 su MSMQ di Windows 2000/XP: singola vulnerabilità dalla tipologia diversa a seconda della versione di sistema operativo (Remote Code Execution su Windows 2000 Server SP4 ed Elevation of Privilege su Windows 2000 Professional SP4 e Windows XP SP2). La classificazione Important si giustifica grazie alla necessità di installare esplicitamente il componente MSMQ e di abilitarlo con privilegi amministrativi. Nei confronti di Windows 2000 Server, verso cui la vulnerabilità è più seria, l'attacco si realizza tramite pacchetti di rete RPC.
• MS07-066 sul Kernel di Windows Vista: singola vulnerabilità nelle chiamate al protocollo ALPC (Advanced Local Procedure Call) di tipo Elevation of Privilege, che viene mitigata nel suo rischio dalla necessità di avere delle credenziali valide per il logon locale (quindi non è possibile l'attacco da remoto).
• MS07-067 sul driver Macrovision in Windows Server 2003/XP: è la singola vulnerabilità già anticipata dal security advisory 944653, di tipo Elevation of Privilege con le stesse caratteristiche del bollettino precedente. Se è stato già messo l'aggiornamento di Macrovision non è necessario mettere la patch Microsoft.
• MS07-068 su Windows Media File Format: singola vulnerabilità Critical su tutte le versioni di Windows (tranne quella di Windows Server 2003 for Itanium-based Systems) di tipo Remote Code Execution, con una diversa tipologia di privilegi sfruttabili a seconda del tipo di applicazione presa di mira nell'attacco (per un'applicazione client come Windows Media Player sono quelli dell'utente loggato, per un'applicazione server come Windows Media Services sono quelli dell'account Network Service). Il vettore di attacco è rappresentato da file ASF.
• MS07-069 su Internet Explorer: classica cumulativa che risolve 4 vulnerabilità Critical pressoché identiche nelle caratteristiche di rischio, di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato e con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.