Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

January, 2012

  • Rilasciati gli aggiornamenti di Gennaio 2012

    Ciao a tutti. Come anticipato nel blog post riguardo l'Advance Notification Service lo scorso giovedì, oggi verranno rilasciati sette bollettini di sicurezza, uno Critico e sei Importanti.

    Gli aggiornamenti rilasciati oggi correggono otto vulnerabilità in prodotti Microsoft. Al solito, si consiglia di installare gli aggiornamenti il prima possibile. Nel caso non fosse possibile, raccomandiamo di prioritizzare l'aggiornamento valutato Critico:

    • MS12-004 (Windows Media Player): Questo aggiornamento, l'unico di questo mese che risolve più di una vulnerabilità, corregge due problematiche che coinvolgono file MIDI o DirectShow. Entrambe le vulnerabilità sono state segnalate privatamente a Microsoft, ed ad oggi non sono stati rilevati attacchi. Consigliamo gli utenti di rivedere il bollettino per avere maggiori dettagli ed installare l'aggiornamento il prima possibile.

    Di seguito la tabella con i suggerimenti sulla prioritizzazione degli aggiornamenti.

    Deployment Priority

    Mentre il seguente grafico mostra i valori aggregati di rischio ed Exploitability Index per ogni aggiornamento.

    Exploitability Index

    Maggiori informazioni e i link ai singoli bollettini sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza di Gennaio 2012.

    Il mese scorso abbiamo annunciato un bollettino riguardante la vulnerabilità in SSL descritta nel Security Advisory 2588513. Pochi giorni prima del rilascio, abbiamo riscontrato un problema di compatibilità riguardante alcuni prodotti di terze parti, e abbiamo deciso di rimandare il rilascio fin quando tali problemi non fossero risolti. L'aggiornamento in questione è stato rilasciato oggi come MS12-006. Il corrispondente articolo Knowledge Base fornisce maggiori informazioni e pacchetti Fix It, utili in caso di problemi con quest'aggiornamento.

    Come ogni mese, il team Security Research and Defense ha preparato due articoli con approfondimenti tecnici riguardo gli aggiornamenti di questo mese. Sono disponibili infatti dettagli riguardo MS12-001, che corregge una vulnerabilità valutata Importante che affligge la tecnologia SafeSEH, ed una panoramica riguardo il già citato MS12-004.

    Infine voglio ricordare che Mercoledì sarà tenuto il webcast relativo agli aggiornamenti di questo mese, con Pete Voss e Dustin Childs. L'appuntamento è per domani, Mercoledì 11 Gennaio 2012, alle ore 20:00 ora italiana. Per registrarsi, consultare questa pagina.

    Rimango a disposizione per ulteriori chiarimenti o informazioni.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Advance Notification per gli aggiornamenti di Gennaio 2012

    Buon anno e ben ritrovati con il nostro appuntamento mensile con gli aggiornamenti di sicurezza. Pochi minuti fa è stato rilasciato l'ANS riguardante gli aggiornamenti di Gennaio 2012, in programma Martedì 10. Gli aggiornamenti di Gennaio prevedono 7 bollettini, che andranno a correggere otto vulnerabilità in Microsoft Windows e Microsoft Developer Tools And Software. Come sempre, raccomandiamo di visionare l'ANS per avere maggiori informazioni e per essere preparati con il test e il deployment di questi aggiornamenti il prima possibile.

    Come detto, gli aggiornamenti saranno rilasciati Martedì 10 Gennaio alle 19 circa ora italiana. Saranno disponibili su questo blog maggiori informazioni riguardo la release di questo mese.

    I lettori più attenti noteranno nella pagina di sommario una nuova classe di vulnerabilità, "Security Feature Bypass", per uno degli aggiornamenti importanti. Le vulnerabilità appartenenti a questa classe non possono essere sfruttate direttamente da un attacker, ma possono essere utilizzate per facilitare lo sfruttamento di altre vulnerabilità. Per chi volesse approfondire l'argomento, il prossimo Martedì è previsto un SRD blog post con maggiori dettagli.

    Al solito, se volete partecipare al webcast di Mercoledì 11 Gennaio tenuto da Dustin Childs e Pete Voss, dove verranno discussi gli aggiornamenti del mese e verrà effettuata un sessione live di domande e risposte, questa è la pagina di registrazione. L'appuntamento è per le 20 (ora italiana) di Mercoledì 11 Gennaio.

    Ovviamente, se avete domande non esitate a contattarmi. Appuntamento al prossimo Martedì con gli aggiornamenti!

    Ciao e di nuovo auguri a tutti!

    Gerardo Di Giacomo
    Security Program Manager - MSRC