[English readers: you can find English links in this post for your convenience]

Come vi anticipavo stamattina, ecco rilasciato l’aggiornamento correttivo MS10-018 per Internet Explorer:

Indicazioni per utenti finali:

  • Assicurarsi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows (consultate l’articolo Microsoft Knowledge Base 294871 se serve aiuto in tal senso) in modo da ricevere e installare automaticamente l’aggiornamento appena pubblicato (KB980182), senza alcuna necessità di intervento da parte dell’utente (a parte assecondare la necessità di un riavvio del sistema).
  • Anche se l’aggiornamento di cui detto vi protegge da tutti i problemi e gli attacchi noti ad oggi, vale sempre la raccomandazione di procedere, se possibile, ad aggiornare Internet Explorer alla versione 8, in virtù del maggior livello di protezione offerto da questa versione.

Maggiori dettagli tecnici per professionisti IT:

Alcune indicazioni generali sul bollettino MS10-018:

  1. Microsoft ha approfittato di questo rilascio per includere in questo bollettino la correzione di altre 9 vulnerabilità non pubbliche (=segnalate in modo responsabile), oltre alla CVE-2010-0806 che è stata oggetto del Microsoft Security Advisory 981374 su Internet Explorer 6 e 7, per un totale di 10 vulnerabilità: in questo modo non vi sarà un bollettino su IE durante il prossimo rilascio di sicurezza (martedì 13 aprile), a tutto vantaggio degli impegni di distribuzione da parte dei clienti.
  2. Si tratta di un aggiornamento cumulativo, come lo sono ormai da diverso tempo tutti gli aggiornamenti di IE: questo implica l’importante comodità per gli utenti che fossero in ritardo con gli aggiornamenti passati di riuscire a risolvere tutti i problemi risolti fino ad oggi con la sola installazione di questo bollettino.
  3. L’aggiornamento presenta un miglioramento funzionale di tipo defense-in-depth, in particolare all’ X-XSS-Protection HTTP header. Una nuova sintassi "mode=block" indica al filtro XSS Filter di disabilitare completamente il contenuto della pagina web nel caso si rilevi un attacco XSS di tipo “reflected”. Ad esempio: X-XSS-Protection: 1; mode=block.

Le consuete considerazioni di rischio:

  • MS10-018 - Cumulative Security Update for Internet Explorer (980182) - Considerazioni di rischio
    • un bollettino di severity complessiva Critical che risolve 10 vulnerabilità, prevalentemente di tipo Remote Code Execution (solo 2 sono di Information Disclosure), complessivamente relative a tutte le versioni attualmente supportate di Internet Explorer, con varie severity a seconda delle combinazioni con le versioni di sistemi operativi Windows. E’ importante comunque sottolineare il diverso livello di impatto per le diverse versioni di IE:
      • IE 8: interessata da 3 vulnerabilità
      • IE 7: interessata da 7 vulnerabilità
      • IE 6: interessata da 8 vulnerabilità
    • L’attacco potrebbe essere realizzato in tutti i diversi modi (navigazione Internet, email o documenti allegati) che veicolano contenuti in formato HTML. I privilegi che verrebbero sfruttati sono quelli dell’utente loggato, quindi vale la best practice: utente meno privilegiato = meno rischi. Solo la vulnerabilità CVE-2010-0806 era già pubblica.
    • NOTA sulla distribuzione: se è stato applicato il Microsoft Fix It suggerito nel Microsoft Security Advisory 981374, è necessario rimuoverlo prima di installare l’aggiornamento di questo bollettino, seguendo le indicazioni del Microsoft Knowledge Base Article 980182.

La pagina riepilogativa del rilascio di sicurezza di marzo 2010 riporta anche il relativo Exploitability Index per le diverse vulnerabilità.

Mi raccomando, aggiornate, aggiornate e fate aggiornare!

Feliciano

Other related posts/resources: