Il rilascio dei bollettini di sicurezza Microsoft di questo mese vede l'emissione di 4 bollettini, con rating Critical, che risolvono un totale di 8 vulnerabilità, tutte non note pubblicamente prima d'ora. Come si potrà notare dalla consueta tabella sinottica riportata di seguito, le caratteristiche di rischio sono comuni a tutte le vulnerabilità: sono tutte di tipo Remote Code Execution, tutte sfruttabili da remoto in modo anonimo e in grado di far eseguire il codice non autorizzato nel contesto di sicurezza dell'utente che è loggato sul sistema nel momento di un eventuale attacco.

Vediamo i pochi dettagli che differenziano i 4 bollettini:

• MS08-052 sul componente GDI+ in Windows (tutte le versioni supportate tranne l'installazione Core di Windows Server 2008 e Windows 2000 SP4), in IE 6 SP1 (solo se installato su Windows 2000 SP4), Office (tutte le versioni supportate tranne Office 2000 SP3), Visio 2002 SP2, Works 8.0, Microsoft Digital Image Suite 2006, SQL Server 2005 SP2, SQL Server 2000 Reporting Services SP2, Microsoft Report Viewer 2008 Redistributable Package, Report Viewer 2005 SP1 Redistributable Package, Microsoft Forefront Client Security 1.0 (solo se installato su Windows 2000 SP4): vi raccomando di consultare il bollettino per vedere gli altri prodotti Microsoft che ricevono comunque l'aggiornamento per allineare il sistema all'ultima versione della DLL incriminata, la gdiplus.dll. Anche chi sviluppa applicazioni e redistribuisce tale DLL dovrebbe consultare la sezione delle domande frequenti. Le varie vulnerabilità si differenziano per il tipo di immagine che può essere utilizzato come vettore di attacco (VML, EMF, GIF, WMF, e BMP). I file di immagini come tipologia di vettori d'attacco rendono particolarmente urgente procedere all'aggiornamento, in quanto facilmente sfruttabili per attacchi ad alto impatto: è sufficiente, per esempio, compromettere un sito di fornitori di pubblicità per poter infettare a catena tutti i siti legittimi che ricevono da questi ads provider le immagini pubblicitarie da visualizzare.
• MS08-053 sul componente Windows Media Encoder 9 Series in Windows (tutte le versioni supportate tranne l'installazione Core di Windows Server 2008 e le versioni Itanium): si può essere a rischio se tale componente è stato installato sul sistema Windows (non è presente nativamente) e se si naviga su una pagina web artefatta per invocarlo in modo pericoloso.
• MS08-054 sul componente Windows Media Player 11 in Windows (tutte le versioni supportate tranne l'installazione Core di Windows Server 2008, le versioni Itanium e Windows 2000 SP4): si può essere a rischio se la versione di questo componente è stato installato sul sistema Windows (la versione 11 è presente nativamente solo su Windows Vista e Windows Server 2008) e se si apre un file audio artefatto per invocarlo in modo pericoloso.
• MS08-055 su Office (tutte le versioni supportate tranne Office 2000 SP3) e Office OneNote 2007 SP1/RTM: l'attacco si induce spingendo l'utente a cliccare su un link malformato ad-hoc che sia in grado di invocare OneNote (del tipo onenote://).

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Share this post :