Rieccoci al consueto appuntamento di analisi dei bollettini di sicurezza Microsoft: come già anticipato venerdì scorso, questo mese vede l'emissione di 4 bollettini, tutti con rating Important, che risolvono un totale di 9 vulnerabilità, di cui solo una era già nota pubblicamente prima di questo rilascio. La matrice sinottica è qui:

Alcune considerazioni puntuali sui singoli bollettini:

• MS08-037 sul DNS di Windows: due vulnerabilità di tipo Spoofing che permetterebbero di effettuare attacchi di DNS cache poisoning, e quindi di dirottare potenzialmente il traffico internet verso siti non legittimi. Sono interessate tutte le versioni di Windows tranne le versioni di Windows Vista e Windows Server 2008 nella versione per Itanium. E' importante prendere conto delle considerazioni che questo aggiornamento ha introdotto rispetto alla modalità di allocazione dei socket TCP: fate riferimento alla sezione FAQ del bollettino per ulteriori dettagli.
• MS08-038 su Explorer di Windows: una vulnerabilità di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato sul sistema, se si riuscisse a fargli aprire e poi salvare un file nel formato utilizzato da Windows Search per salvare una ricerca (.search-ms): è questo il motivo per cui il bollettino interessa solo Windows Vista e Windows Server 2008. Questo aggiornamento corregge anche un problema funzionale relativo alla non corretta gestione della chiave di registry NoDriveTypeAutorun (vedi sempre le FAQ). E' l'unica vulnerabilità di questo mese ad esser già nota, anche se non risulta sia sfruttata per attacchi.
• MS08-039 su OWA di Exchange: due vulnerabilità di tipo Elevation of Privilege che permetterebbero, tramite l'invio di email artefatte ad hoc, di far eseguire uno script in grado di agire nella sessione di OWA con gli stessi diritti dell'utente preso di mira dall'attacco (e quindi potenzialmente di leggere/inviare/cancellare email). Sono interessate alternativamente dalle due vulnerabilità entrambe le versioni di Exchange Server attualmente supportate, quindi sia Exchange Server 2007 RTM/SP1, che Exchange Server 2003 SP2.
• MS08-040 su SQL: ecco le tanto attese (dai concorrenti di Microsoft SQL Server ovviamente... ;-... che le aspettano da 5 anni!) 4 vulnerabilità che interessano a vario titolo le diverse versioni di SQL attualmente supportate: SQL Server 2005 SP2, SQL server 2000 SP4, SQL Server 7.0 SP4, comprese le relative versioni desktop MSDE 2000 SP4 ed MSDE 1.0 SP4 (e incluse quelle fornite nativamente da alcune versioni server di Windows: WYukon e WMSDE). Delle 4 vulnerabilità, 3 sono di tipo Elevation of Privilege, 1 di tipo Information Disclosure: tutte sono caratterizzate dalla necessità di disporre di un'utenza valida per realizzare l'attacco e questo contribuisce alla classificazione Important della severity di questo bollettino.

Altri post/risorse correlate:

• i post della categoria "2.1.1 Security Bulletin Risk Analysis"
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Aggiornamento dell'11/07/2008: sono stati riscontrati dei problemi di compatibilità applicativa dopo l'installazione del bollettino MS08-037 per i clienti che usano ZoneAlarm e Check Point Endpoint Security (già nota come Check Point Integrity): l'invito è a consultare le seguenti risorse per ricevere ulteriori informazioni/aggiornamenti

• ZoneAlarm
• Check Point Endpoint
• MSRC
• Articolo KB 953230 – MS08-037: Vulnerabilities in DNS could allow spoofing

Share this post :