Sintesi: come conto di fare ogni tanto d'ora in avanti, posterò una sintesi delle considerazioni dei post di questo mio Security Blog direttamente su MClips, a vantaggio di tutti coloro che desiderano informazioni flash, meno tecniche e dal taglio più giornalistico: "Bollettini di sicurezza di febbraio: martedì grasso... ma non troppo"

Ho letto di chi (Giacomo Dotta ripreso da Fabrizio Sinopoli di OneITSecurity) ha simpaticamente ribattezzato "Super Tuesday" o "Martedì grasso" questo particolare secondo martedì di febbraio dedicato alla consueta emissione dei bollettini di sicurezza di Microsoft: questo mese questa definizione ci sta tutta, 11 bollettini sono davvero tanti, per un totale di 17 vulnerabilità (breve nota statistica: sarebbe quasi il massimo dei bollettini emessi in un solo mese che è appunto 12, evento che è capitato solo 3 volte negli ultimi 3 anni).

Un pensiero mi consola quando vedo tanti bollettini in una volta sola, e soprattutto caratterizzati da una prevalente maggioranza di vulnerabilità segnalate in modo privato a Microsoft: che diventa una ottima evidenza sull'impegno preso di risolvere TUTTE le vulnerabilità che vengono scoperte, contrariamente a quanti detrattori provano a dire, in particolare quando si contano il numero di vulnerabilità nei report comparativi.

Le consuete matrici sinottiche delle vulnerabilità (la prima si riferisce alle vulnerabilità della famiglia Windows, la seconda quelle di Office):

Alcuni dettagli per ogni bollettino:

• MS08-003 su Active Directory/ADAM di Windows: vulnerabilità di tipo Denial of Service che permetterebbe di attaccare i sistemi Windows dotati di Active Directory o ADAM tramite pacchetti di rete LDAP (porte TCP 389, 3268) in modo tale da bloccarli e causare il loro riavvio. Il rating complessivo Important è causato dalla maggiore gravità della vulnerabilità su Windows 2000, dove l'attacco può essere realizzato in modo anonimo.
• MS08-004 sul TCP/IP di Windows Vista: vulnerabilità di tipo Denial of Service che permetterebbe di attaccare i sistemi Windows Vista in modo tale da bloccarli e causare il loro riavvio. L'attacco può essere realizzato solo tramite un finto DHCP server (o un DHCP Relay Agent) che risponda alle richieste del client: in quanto tale l'attacco è necessariamente locale in intranet e questo contribuisce alla classificazione Important del rating.
• MS08-005 su IIS di Windows: vulnerabilità Important di tipo Elevation of Privilege che permetterebbe, ad un utente con valide credenziali di logon sul sistema Windows con IIS abilitato, di eseguire un'applicazione ad-hoc in grado di essere eseguita con i massimi privilegi. Solo Windows 2000 ha il servizio Web abilitato by default.
• MS08-006 sul componente ASP di IIS: vulnerabilità Important di tipo Remote Code Execution relativa a Windows Server 2003 e Windows XP che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza del Worker Process Identity (che by default è il Network Service, quindi con privilegi limitati), tramite l'invio di input malformati alle pagine ASP.
• MS08-007 sul WebDAV Mini-Redirector di Windows: vulnerabilità di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza di LocalSystem tramite l'invio di risposte malformate al client WebDAV. Il rating complessivo è Critical, mentre è Important su Windows Server 2003 grazie al fatto che su tale versione di Windows il servizio Web Client (che implementa il WebDAV Mini-Redirector) è disabilitato by-default. Probabilmente il bollettino più serio di tutta l'emissione mensile.
• MS08-008 su OLE Automation di Windows, Office for Mac 2004 e Visual Basic 6.0 SP6: vulnerabilità di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'uso di script attivati tramite pagine Web. Il rating complessivo è Critical, mentre è Important su Windows Server 2003 grazie alla Enhanced Security Configuration di IE.
• MS08-009 su Word di Office: vulnerabilità di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Word malformati ad-hoc. Il rating complessivo Critical è dovuto a Word 2000 che non è provvisto nativamente del consenso esplicito all'apertura di un documento (funzionalità che si aggiunge per mezzo dell'add-on Office Document Open Confirmation Tool).
• MS08-010 su Internet Explorer di Windows: classica cumulativa che risolve 4 vulnerabilità Critical pressoché identiche nelle caratteristiche di rischio, di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato e con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
• MS08-011 su Works File Converter di Office e Works: 3 vulnerabilità identiche nelle caratteristiche di rischio, di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato tramite l'apertura di file di Works malformati. Il rating aggregato è Important.
• MS08-012 su Publisher di Office: 2 vulnerabilità identiche nelle caratteristiche di rischio, di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato tramite l'apertura di file di Publisher malformati. Il rating aggregato è Critical.
• MS08-013 su Office: una vulnerabilità di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato tramite l'apertura di file di Office contenenti un oggetto malformato. Il rating aggregato è Critical.

Aggiornamento delle 12:23: Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Per stanotte (o è già mattina... :-(...) credo sia abbastanza...