hit counter
Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008 - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

  • Comments 1
  • Likes

Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:

 

  • MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
    Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028).
  • MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
  • MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
  • MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment