Puntuale come preannunciato, a 10 giorni di distanza rispetto al momento in cui si è venuti a conoscenza della problematica, ecco rilasciato l’aggiornamento correttivo per Internet Explorer, di cui abbiamo abbondantemente parlato nei giorni scorsi.

Indicazioni per utenti finali:

  • Assicurarsi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows in modo da ricevere e installare automaticamente l’aggiornamento appena pubblicato (KB978207), senza alcuna necessità di intervento da parte dell’utente (a parte assecondare la necessità di un riavvio del sistema).
  • Anche se l’aggiornamento di cui detto vi protegge da tutti i problemi e gli attacchi noti ad oggi, vale sempre la raccomandazione di procedere, se possibile, ad aggiornare Internet Explorer alla versione 8, in virtù del maggior livello di protezione offerto da questa versione.

Maggiori dettagli tecnici per professionisti IT:

Il bollettino MS10-002 è caratterizzato da 3 novità:

  1. Microsoft ha approfittato di questo rilascio per includere in questo bollettino la correzione di altre 7 vulnerabilità non pubbliche (=segnalate in modo responsabile), oltre alla famosa CVE-2010-0249 che è stata oggetto del caso Google-China, per un totale di 8 vulnerabilità: in questo modo ipotizzo che si riuscirà ad evitare la presenza di un bollettino su IE durante il prossimo rilascio di sicurezza (martedì 9 febbraio), a tutto vantaggio degli impegni di distribuzione da parte dei clienti.
  2. Si tratta di un aggiornamento cumulativo, come lo sono ormai da diverso tempo tutti gli aggiornamenti di IE: questo implica l’importante comodità per gli utenti che fossero in ritardo con gli aggiornamenti passati di riuscire a risolvere tutti i problemi risolti fino ad oggi con la sola installazione di questo bollettino.
  3. Dal momento che risulta vulnerabile il motore di rendering di IE (MSHTML.DLL), il quale può essere utilizzato da altre applicazioni che vogliono aggiungere funzionalità di navigazione, ci sono altre applicazioni oltre a IE che possono potenzialmente agire da vettore di attacco, ma l’installazione dell’aggiornamento MS10-002 protegge da tutte queste modalità:
    • client di posta come Outlook (tranne Outlook 2007 che usa un differente motore di rendering), Outlook Express e Windows Live Mail
    • applicazioni Office (come Word, Excel, Powerpoint e Access)
    • applicazioni di terze parti che utilizzino la libreria MSHTML.DLL come motore di rendering

Le consuete considerazioni di rischio:

  • MS10-002 - Cumulative Security Update for Internet Explorer (978207)
    • Considerazioni di rischio: un bollettino di severity Critical che risolve 8 vulnerabilità, prevalentemente di tipo Remote Code Execution (solo 1 è di Information Disclosure), complessivamente relative a tutte le versioni attualmente supportate di Internet Explorer, con varie severity a seconda delle combinazioni con le versioni di sistemi operativi Windows. Viste le diverse applicazioni che possono usare il componente vulnerabile, l’attacco potrebbe essere realizzato in tutti i diversi modi (navigazione Internet, email o documenti Office) che veicolano contenuti in formato HTML. I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato = meno rischi. Solo la vulnerabilità CVE-2010-0249 era già pubblica.

La pagina riepilogativa del rilascio di sicurezza di gennaio 2010 riporta anche il relativo Exploitability Index per le diverse vulnerabilità.

Mi raccomando, aggiornate, aggiornate e fate aggiornare!

Feliciano

Altri post/risorse correlate: