Come anticipato lo scorso venerdì, questa emissione di sicurezza di febbraio 2009 vede la pubblicazione di 4 bollettini che risolvono un totale di 8 vulnerabilità, tutte non note pubblicamente fino ad oggi tranne quella relativa al bollettino di SQL che è stata oggetto del Security Advisory 961040.

Alcuni dettagli:

• MS09-002 su Internet Explorer 7 di Windows: è la classica cumulativa di IE che risolve 2 vulnerabilità di severity Critical in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell'utente loggato sul sistema a fronte della visualizzazione di contenuti HTML pericolosi. Nonostante le nuove vulnerabilità corrette siano relative solo a IE7, questo bollettino, in quanto aggiornamento cumulativo, include sia la precedente patch cumulativa di dicembre (MS08-073) che la patch straordinaria del 17 dicembre (MS08-078), permettendo quindi ai clienti di ritornare nella comoda situazione di avere una sola patch da installare sui sistemi Windows per correggere tutte le vulnerabilità di Internet Explorer corrette fino ad oggi.
• MS09-003 su Exchange Server (tutte le versioni attualmente supportate): due vulnerabilità, di cui una con severity Critical in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza del service account di Exchange a fronte del processamento di un messaggio nel formato TNEF (Transport Neutral Encapsulation), che rappresenta quello utilizzato da Exchange nell'invio di email RTF (Rich Text Format); la seconda, con severity Important, che permetterebbe di causare un Denial of Service (DoS) tramite l'invio di comandi MAPI malformati ad applicazioni o servizi che utilizzino il provider EMSMDB32 (Electronic Messaging System Microsoft Data Base), tra cui, in particolare, il servizio di System Attendant di Microsoft Exchange.
• MS09-004 su SQL Server (in particolare per le versioni SQL Server 2000, SQL Server 2005 Service Pack 2, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (WMSDE), e Windows Internal Database (WYukon)): una vulnerabilità Important di tipo Remote Code Execution che permetterebbe di eseguire del codice non autorizzato da remoto a fronte di una query con un parametro malformato inviata alla extended store procedure vulnerabile "sp_replwritetovarbin". La severity Important è giustificata dal fatto che la vulnerabilità non è sfruttabile in modo anonimo: chi attacca ha la necessità di autenticarsi o di avvantaggiarsi di un attacco di SQL Injection (in cui l'applicazione web è in grado di autenticarsi verso il database in backend). Come già detto, questa vulnerabilità è stata anticipata al pubblico tramite il Security Advisory 961040. 
• MS09-005 su Microsoft Office Visio (tutte le versioni attualmente supportate): 3 vulnerabilità Important in grado di permettere l'esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell'utente loggato sul sistema a fronte della visualizzazione di un documento Visio opportunamente malformato.

Contestualmente ai 4 bollettini è stato anche rilasciato un Security Advisory che consolida i Kill Bits degli ActiveX che non dovrebbero essere invocabili tramite Internet Explorer e quindi vengono disabilitati:

 Microsoft Security Advisory (960715) - Update Rollup for ActiveX Kill Bits

Tale aggiornamento aggiunge i nuovi kill bit per i seguenti prodotti non Microsoft:

• Akamai Download Manager
• Research in Motion (RIM) AxLoader

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

• Win32/Srizbi

Per coloro che stessero attivamente usando l'MSRT di gennaio per debellare l'infezione Conficker, potrebbe essere opportuno continuare l'opera di disinfezione con la nuova versione di questo mese, alla luce di alcune ottimizzazioni realizzate nelle operazioni di rilevamento/rimozione.

Aggiornamento del 13/02/2009:

• 960715 - Update Rollup for ActiveX Kill Bits: ho ricevuto da alcuni di voi la segnalazione che questo aggiornamento crea dei problemi con gli ActiveX invocati da componenti in Visual Basic. Questo si spiega in questo modo: questo aggiornamento 960715 è cumulativo e, come indicato nel relativo advisory, include i kill bit forniti con il bollettino  "MS08-070, Vulnerabilities in Visual Basic 6.0 Runtime Extended Files (ActiveX Controls) Could Allow Remote Code Execution (932349)". Se aprite il bollettino MS08-070 troverete indicato un link all'articolo KB932349 che segnala le problematiche note (Known Issues): credo che tale articolo indirizzi tutti i problemi che mi state segnalando e le relative soluzioni.
• MS09-004 su SQL Server: analogamente al punto precedente, vi invito a consultare dettagliatamente l'articolo di Knowledge Base KB959420 associato al bollettino che elenca i problemi noti (Known Issues), avendo cura di documentarsi prima di installare la patch ;-).

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Post riepilogativo sulle risorse relative all'infezione Conficker: Considerazioni per un efficace contenimento dell'infezione Conficker.B
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Share this post :