L'emissione dei bollettini di questo mese, anche se risulta corposa con i suoi 8 bollettini che risolvono un totale di 10 vulnerabilità, si presenta con caratteristiche di insieme che non rendono lo scenario di rischio diverso dal livello medio (e sinceramente non particolarmente preoccupante) a cui Microsoft ci ha abituato da diversi mesi a questa parte: tutte le vulnerabilità risolte non erano note prima di questo rilascio e nessuna presenta caratteristiche tali da permettere la realizzazione di malware di tipo worm. Inoltre, come già accennato nel preavviso di venerdì scorso, il minor impatto delle versioni più recenti di Windows continua a confermare la validità del processo di Security Development Lifecycle (SDL) di revisione del codice dal punto di vista della sicurezza:

• Windows Server 2008 e Windows Vista SP1 interessati da 4 bollettini
• Windows Vista RTM interessato da 5 bollettini
• Windows XP, Windows Server 2003 e Windows 2000 interessati da 6 bollettini.

Due aspetti meritano di essere segnalati questo mese:

• il bollettino MS08-023 rappresenta l'inizio di un nuovo approccio: a partire da questo mese le modifiche dei Kill Bit relativi a controlli ActiveX vulnerabili sia di Microsoft che di terze parti non saranno più incluse nel tipico bollettino cumulativo di Internet Explorer ma distribuiti in un aggiornamento separato che sarà a sua volta cumulativo d'ora in avanti. In questo modo si agevola il cliente nella gestione dei test di compatibilità applicativa e si contribuisce al miglioramento degli aspetti di sicurezza dell'ecosistema delle aziende partner grazie alla possibilità di utilizzare in modo più esteso gli automatismi di aggiornamento per distribuire le segnalazioni di vulnerabilità anche di ActiveX relativi a prodotti non-Microsoft.
• il bollettino cumulativo di Internet Explorer (MS08-024) presenta una importante modifica di funzionalità: è stato introdotto l'Automatic Component Activation per rimuovere il comportamento (fastidioso) che richiedeva agli utenti di cliccare sui controlli ActiveX di una pagina web prima di poterli effettivamente utilizzare (modifica introdotta nell'aprile 2006).

Maggiori dettagli sulle vulnerabilità:

• MS08-018 su Project: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Project malformati ad-hoc. Le versioni più recenti di Project non sono interessate da questa vulnerabilità.
• MS08-019 su Visio: due vulnerabilità di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Visio (per la prima vulnerabilità) e di file di Autocad di tipo .DFX (per la seconda vulnerabilità)malformati ad-hoc. La severity aggregata è Important.
• MS08-020 sul DNS Client di Windows: una vulnerabilità Important di tipo Spoofing che permetterebbe di inviare al sistema sotto attacco delle risposte DNS malformate in modo tale da dirottare il traffico Internet verso sistemi illegittimi. Windows Vista SP1 e Windows Server 2008 non sono interessati da questa vulnerabilità.
• MS08-021 sul componente GDI di Windows: due vulnerabilità Critical di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di immagini di tipo WMF/EMF (per la prima vulnerabilità) e di immagini di tipo EMF (per la seconda vulnerabilità) malformate ad-hoc.
• MS08-022 su VBScript/JScript di Windows: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco. Windows Vista e Windows Server 2008 non sono interessati da questa vulnerabilità.
• MS08-023 sull'ActiveX hxvz.dll in Windows e sull'ActiveX di Yahoo! Music Jukebox: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
• MS08-024 su Internet Explorer in Windows: classica cumulativa che risolve una vulnerabilità Critical di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato e con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
• MS08-025 sul Kernel di Windows: una vulnerabilità Important di tipo Elevation of Privilege che permetterebbe, ad un utente con valide credenziali di logon sul sistema Windows, di eseguire un'applicazione ad-hoc in grado di essere eseguita con i massimi privilegi.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :