[English readers: you can find English links in this post for your convenience]

Puntuale come preannunciato, ecco rilasciato l’aggiornamento correttivo per tutte le versioni attualmente supportate di Windows, relativo alla vulnerabilità in ASP.NET segnalata nel Microsoft Security Advisory 2416728 di cui abbiamo già parlato nei giorni scorsi:

MSRC post: MS10-070 Released Out-of-Band Today

Aggiornamento del 30/09/2010: ora gli aggiornamenti di sicurezza relativi a questo bollettino sono distribuiti secondo le consuete modalità:

L’aggiornamento MS10-070 è ora disponibile anche su Windows Update

Indicazioni per utenti finali:

• Come ho indicato nel post di preavviso, gli utenti finali che usano le versioni desktop di Windows (Windows XP, Windows Vista, Windows 7) non sono vulnerabili a meno che non stiano esponendo un server Web (situazione alquanto anomala, ma pur sempre possible): se questo fosse il caso, possono provvedere a scaricare manualmente questo aggiornamento dal Microsoft Download Center e ad installarlo sul proprio PC. Tutti gli altri utenti finali possono attendere i prossimi 2-3 giorni quando l’aggiornamento sarà reso disponibile tramite Windows Update. (come indicato poche righe prima questo aspetto è già operativo, e agli utenti serve solo assecondare l’aggiornamento automatico, se impostato)

Maggiori dettagli tecnici per professionisti IT

le consuete considerazioni per l’analisi del rischio ed alcune puntualizzazioni utili sul bollettino MS10-070:

• Considerazioni di rischio: un bollettino di severity Important che risolve una sola vulnerabilità (CVE-2010-3332), di tipo Information Disclosure relativo a tutte le versioni attualmente supportate di Windows. La vulnerabilità era già pubblica ed è attualmente sfruttata da alcuni attacchi limitati, le cui modalità trovate dettagliate nei post del team SRD riportati nei riferimenti in basso. La pagina riepilogativa del rilascio di sicurezza di settembre 2010 riporta anche il relativo Exploitability Index che risulta essere pari, ovviamente, a 1 (=Consistent exploit code likely).
• Sono interessate tutte le versioni attualmente supportate di Windows: utile ricordare che le versioni Windows 2000 e Windows XP SP2 sono ormai fuori supporto e quindi non più considerate nell’analisi di rischio del bollettino.
• Non è necessario rimuovere i workaround applicati prima di installare questo aggiornamento, si può fare con comodo dopo poiché non sono più necessari in presenza della patch.
• La lista degli aggiornamenti sul Microsoft Download Center è qui
• Un utile post con le domande frequenti è quello di Scott Guthrie: ASP.NET Security Update Now Available
• Non mancate di leggere l’articolo della Microsoft Knowledge Base 2418042 sulle problematiche note ed altre informazioni legate a questi aggiornamenti

Nei riferimenti in basso trovate gli altri post utili per l’approfondimento di questa problematica.

Mi raccomando, aggiornate, aggiornate e fate aggiornare!

Feliciano

Other related posts/resources:

• Microsoft Security Bulletin Advance Notification for September 2010
• Microsoft Security Advisory 2416728 su ASP.NET
• Microsoft Knowledge Base 2418042
• [EN] MSRC post: MS10-070 Released Out-of-Band Today
• [EN] SRD post: Understanding the ASP.NET Vulnerability
• [EN] SRD post: Additional Information about the ASP.NET Vulnerability
• List of MS10-070 updates on Microsoft Download Center
• [EN] ScottGu’s Blog: Frequently Asked Questions about the ASP.NET Security Vulnerability
• [EN] ScottGu’s Blog: Update on ASP.NET Vulnerability
• [EN] ScottGu’s Blog: ASP.NET Security Update Now Available with FAQs
• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Riepilogo analisi Bollettini e Advisory