[English readers: you can find English links in this post for your convenience]

Come ho anticipato venerdì scorso, Microsoft ha pubblicato ieri sera 2 bollettini di sicurezza che correggono un totale di 2 vulnerabilità.

Indicazioni per utenti finali:

  • Assicuratevi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows in modo da ricevere e installare automaticamente tutti gli aggiornamenti appena pubblicati che si applicano al vostro PC, senza alcuna necessità di intervento da parte dell’utente (a parte assecondare la necessità di un riavvio del sistema). 

Maggiori dettagli tecnici per professionisti IT:

Il riepilogo degli aggiornamenti è disponibile a questo link “Microsoft Security Bulletin Advance Notification for May 2010”, mentre i singoli bollettini tecnici sono i seguenti:

Bulletin ID

Bulletin Title

Max Severity Rating

Vuln. Impact

Restart Req.ment

Affected Software

MS10-030

Vulnerability in Outlook Express and Windows Mail Could Allow Remote Code Execution (978542)

Critical

Remote Code Execution

Requires restart

Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

MS10-031

Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (978213)

Critical

Remote Code Execution

May require restart

Microsoft Office XP, Office 2003, 2007 Office System, Visual Basic for Applications, and Visual Basic for Applications SDK.

Si noti che le due vulnerabilità sono entrambe classificate di livello 2 riguardo all’Exploitability Index:

Bulletin ID Vulnerability Title CVE ID
Exploitability Index Assessment Key Notes
MS10-031 VBE6.DLL Stack Memory Corruption Vulnerability CVE-2010-0815 2 - Inconsistent exploit code likely (None)
MS10-030

Outlook Express and Windows Mail Integer Overflow Vulnerability

 CVE-2010-0816 2 - Inconsistent exploit code likely Exploitation on Windows Vista and later operating systems is less likely due to heap mitigations


Alcune note sui diversi bollettini:

  • MS10-030:
    • la severity per Windows 7 è minore (Important) poiché Windows Mail non è presente in modo predefinito, a meno che Windows 7 non sia stato installato come un upgrade da Windows Vista.
    • L’aggiornamento viene comunque offerto anche per Windows 7, poichè il componente vulnerabile è una DLL di sistema (inetcomm.dll), anche se il vettore di attacco è rappresentato solo da Windows Mail o Windows Live Mail, se usati.
    • Consultate il post SRD relativo per maggiori dettagli sulle modalità di attacco.
  • MS10-031:
    • L’imminente Office 2010 non è una versione interessata dalla vulnerabilità
    • Anche se avete installato gli aggiornamenti raccomandati relativi ai prodotti Microsoft interessati, potreste aver bisogno di aggiornare anche altre versioni del VBA runtime (VBE6.DLL) presenti sul vostro sistema perché installati da applicazioni di terze parti. Vi raccomando di leggere le FAQ del bollettino per individuare il modo più opportuno per procedere all’aggiornamento completo.
    • Consultate il post SRD relativo per maggiori dettagli sulle modalità di attacco.

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

  • Win32/Oficla: a familiy of trojans that attempts to inject code into running processes in order to download and execute arbitrary files. In the wild, we have observed variants of this family downloading and installing several different malware families, including Win32/FakeScanti and Win32/Cutwail.

Feliciano

Other related posts/resources: