hit counter
Analisi di rischio sui Bollettini di sicurezza Microsoft - febbraio 2009 - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio sui Bollettini di sicurezza Microsoft - febbraio 2009

Analisi di rischio sui Bollettini di sicurezza Microsoft - febbraio 2009

  • Comments 2
  • Likes

Come anticipato lo scorso venerdì, questa emissione di sicurezza di febbraio 2009 vede la pubblicazione di 4 bollettini che risolvono un totale di 8 vulnerabilità, tutte non note pubblicamente fino ad oggi tranne quella relativa al bollettino di SQL che è stata oggetto del Security Advisory 961040.

Alcuni dettagli:

  • MS09-002 su Internet Explorer 7 di Windows: è la classica cumulativa di IE che risolve 2 vulnerabilità di severity Critical in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell'utente loggato sul sistema a fronte della visualizzazione di contenuti HTML pericolosi. Nonostante le nuove vulnerabilità corrette siano relative solo a IE7, questo bollettino, in quanto aggiornamento cumulativo, include sia la precedente patch cumulativa di dicembre (MS08-073) che la patch straordinaria del 17 dicembre (MS08-078), permettendo quindi ai clienti di ritornare nella comoda situazione di avere una sola patch da installare sui sistemi Windows per correggere tutte le vulnerabilità di Internet Explorer corrette fino ad oggi.
  • MS09-003 su Exchange Server (tutte le versioni attualmente supportate): due vulnerabilità, di cui una con severity Critical in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza del service account di Exchange a fronte del processamento di un messaggio nel formato TNEF (Transport Neutral Encapsulation), che rappresenta quello utilizzato da Exchange nell'invio di email RTF (Rich Text Format); la seconda, con severity Important, che permetterebbe di causare un Denial of Service (DoS) tramite l'invio di comandi MAPI malformati ad applicazioni o servizi che utilizzino il provider EMSMDB32 (Electronic Messaging System Microsoft Data Base), tra cui, in particolare, il servizio di System Attendant di Microsoft Exchange.
  • MS09-004 su SQL Server (in particolare per le versioni SQL Server 2000, SQL Server 2005 Service Pack 2, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (WMSDE), e Windows Internal Database (WYukon)): una vulnerabilità Important di tipo Remote Code Execution che permetterebbe di eseguire del codice non autorizzato da remoto a fronte di una query con un parametro malformato inviata alla extended store procedure vulnerabile "sp_replwritetovarbin". La severity Important è giustificata dal fatto che la vulnerabilità non è sfruttabile in modo anonimo: chi attacca ha la necessità di autenticarsi o di avvantaggiarsi di un attacco di SQL Injection (in cui l'applicazione web è in grado di autenticarsi verso il database in backend). Come già detto, questa vulnerabilità è stata anticipata al pubblico tramite il Security Advisory 961040
  • MS09-005 su Microsoft Office Visio (tutte le versioni attualmente supportate): 3 vulnerabilità Important in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell'utente loggato sul sistema a fronte della visualizzazione di un documento Visio opportunamente malformato.

Contestualmente ai 4 bollettini è stato anche rilasciato un Security Advisory che consolida i Kill Bits degli ActiveX che non dovrebbero essere invocabili tramite Internet Explorer e quindi vengono disabilitati:

 Microsoft Security Advisory (960715) - Update Rollup for ActiveX Kill Bits

Tale aggiornamento aggiunge i nuovi kill bit per i seguenti prodotti non Microsoft:

  • Akamai Download Manager
  • Research in Motion (RIM) AxLoader

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

Per coloro che stessero attivamente usando l'MSRT di gennaio per debellare l'infezione Conficker, potrebbe essere opportuno continuare l'opera di disinfezione con la nuova versione di questo mese, alla luce di alcune ottimizzazioni realizzate nelle operazioni di rilevamento/rimozione.

Aggiornamento del 13/02/2009:

  • 960715 - Update Rollup for ActiveX Kill Bits: ho ricevuto da alcuni di voi la segnalazione che questo aggiornamento crea dei problemi con gli ActiveX invocati da componenti in Visual Basic. Questo si spiega in questo modo: questo aggiornamento 960715 è cumulativo e, come indicato nel relativo advisory, include i kill bit forniti con il bollettino  "MS08-070, Vulnerabilities in Visual Basic 6.0 Runtime Extended Files (ActiveX Controls) Could Allow Remote Code Execution (932349)". Se aprite il bollettino MS08-070 troverete indicato un link all'articolo KB932349 che segnala le problematiche note (Known Issues): credo che tale articolo indirizzi tutti i problemi che mi state segnalando e le relative soluzioni.
  • MS09-004 su SQL Server: analogamente al punto precedente, vi invito a consultare dettagliatamente l'articolo di Knowledge Base KB959420 associato al bollettino che elenca i problemi noti (Known Issues), avendo cura di documentarsi prima di installare la patch ;-).

Altri post/risorse correlate:

Share this post :
Comments
  • sarebbe bello che ci spiegassi meglio il MS09-002 (aka CVE-2009-0076)... perche' sembra fantascienza... com'e' possibile che IE crashi, esponga registri & compagnia ed esegua codice iniettato, tramite un mero errato parsing del CSS?? E' fatto cosi male IE , o c'e' dell'altro (non specificato)?

    pure il bug sl ms-tnef non e' male cmq... dio sa' xche esista ancora quel astruso formato e pratica di embeddare oggetti ole che poi exchange deve "eseguire" per estrapolarli/rielaborarli.

  • @bubba: sia detto con tutto il rispetto, non capisco come mai tu ti stupisca del funzionamento di una vulnerabilità di tipo "memory corruption" che interessa il parsing di CSS. Credi che questo componente sia più facile da scrivere degli altri? Credi che gli altri browser ne siano immuni? Se un codice, MS o non MS, non gestisce correttamente l'input, si creano le condizioni per una vulnerabilità di tipo remote code execution, e il tipo di componente interessato fa la differenza solo per i privilegi con cui viene eseguito, non per quello che fa.

    Sul problema dei formati astrusi, ti confesso che spesso ce lo chiediamo anche noi :-), ma il problema è sempre che non sappiamo e immaginiamo tutte le decisioni di progetto che hanno guidato tali scelte all'origine, e le considerazioni di compatibilità applicativa che guidano le decisioni di mantenerle di versione in versione.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment