Eccomi a riprendere l’appuntamento di analisi del rilascio di sicurezza che Microsoft pubblica puntualmente il 2° martedì di ogni mese (il ben noto Patch Tuesday).

Come già anticipato, ieri è stato pubblicato solo 1 bollettino di sicurezza:

• MS10-001 - Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
• Considerazioni di rischio: si tratta di una sola vulnerabilità, di tipo Remote Code Execution, relativa al componente di Windows che decomprime i font Embedded OpenType (EOT). Anche se interessa tutte le versioni di Windows attualmente supportate, la severity è Critical solo per Windows 2000 poiché nelle altre versioni più recenti il codice non viene utilizzato in una modalità che permetta lo sfruttamento noto. L’attacco si potrebbe realizzare tramite l’invio di documenti di Word o Powerpoint, o attraverso siti Web, che includano i font malformati ad arte. I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato = meno rischi. La vulnerabilità non era nota fino ad ora.

La pagina riepilogativa del rilascio di sicurezza di gennaio 2010 riporta anche il relativo Exploitability Index di questa singola vulnerabilità, che risulta pari a 2=Inconsistent exploit code likely (e viene fornito solo per i sistemi Windows 2000, a riprova di quanto detto relativamente alla severity).

E’ stato anche riemesso un precedente bollettino, di cui vi avevo parlato in questo mio post:

• MS09-035 - Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)
• Motivo della riemissione: è stato aggiunta la versione Windows Embedded CE 6.0 nella lista dei prodotti interessati. E’ possibile scaricare l’aggiornamento relativo (KB974616) tramite il Microsoft Download Center.

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

• Win32/RimeCud: è una famiglia di worm che si diffonde tramite dischi rimovibili, programmi di instant messaging e reti P2P, in grado di installare funzionalità di backdoor che permettono il controllo remoto del sistema infetto. E’ analogo alla famiglia  Win32/Hamweq, ma purtroppo è più flessibile nelle funzionalità di controllo remoto.

E’ stato emesso anche un nuovo Security Advisory, di cui vi parlo nel mio post successivo:

• Microsoft Security Advisory (979267) su Adobe Flash Player 6

Feliciano

Altri post/risorse correlate:

• Riepilogo analisi Bollettini e Advisory
  • Post del MSRC: January 2010 Security Bulletin Release
  • Post del MMPC: Rimecud and Hamweq - birds of a feather
  • Post del SRD: MS10-001: Font file decompression vulnerability
• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Indicazioni sul rilevamento e sulla distribuzione per gli aggiornamenti della protezione Microsoft