Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

July, 2012

  • Disponibile il Rapporto Annuale 2012 di MSRC

    Oggi è stato rilasciato il quarto Microsoft Security Response Center (MSRC) Progress Report. Questo rapporto evidenza il progresso di varie iniziative di information sharing di Microsoft, che incoraggiono la collaborazione nell'industria della sicurezza, aumentano le difese basate sulla community e proteggono in modo migliore gli utenti.

    Questo nuovo rapporto fornisce informazioni riguardo:

    • Statistiche relative ai Microsoft Security Bulletin dell'ultimo anno
    • Dietro le quinte di un bollettino out-of-band
    • Progresso annuale di iniziative quali Microsoft Active Protections Program (MAPP), Microsoft Exploitability Index e Microsoft Vulnerability Research (MSVR)
    • Il BlueHat Prize, annunciato lo scorso anno
    • I risultati di uno studio sull'efficacia dell'Enhanced Mitigation Experience Toolkit (EMET)

    Alcuni punti cardine del rapporto:

    Durante i 12 mesi antecedenti a Giugno 2012, Microsoft ha rilasciato 90 bollettini di sicurezza, risolvendo 203 vulnerabilità singole.

    Delle vulnerabilità risolte da Microsoft da Luglio 2011 a Giugno 2012, il 50% permetterebbe di eseguire codice da remoto, contro il 62.8% dello scorso periodo.

    I 90 bollettini di sicurezza pubblicati da Luglio 2011 a Giugno 2012 hanno un Exploitability Index totale di 190.

    Un'analisi dei diversi deployment scenario evidenzia come l'Exploitability Index aiuti le aziende a mitigare i costi e permetta loro di allocare le risorse in maniera più efficace.

    Da Luglio 2011, il programma Microsoft Vulnerability Research ha identificato e pubblicato in maniera coordinata 96 vulnerabilità software, collaborando con un totale di 39 vendor.

    L'utilizzo della Coordinated Vulnerability Disclosure (CVD) è aumentato fino a stabilire un nuovo record durante il periodo da Luglio 2011 a Giugno 2012. Delle vulnerabilità risolte da Microsoft, il 91% sono state riportate tramite CVD, contro l'84% dello scorso periodo.

    Il report contiene altre informazioni utili: se siete curiosi di avere tutte le statistiche, leggere cosa succede durante un rilascio out-of-band o avere informazioni sull'efficacia di EMET, vi consiglio di scaricare il report completo.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il Security Advisory 2737111

    Pochi minuti fa è stato rilasciato il Security Advisory 2737111 che fornisce dei workaround per proteggere gli utenti da una vulnerabilità in una delle librerie di Oracle Outside In, aggiornate qualche giorno fa. Microsoft utilizza, tramite una collaborazione con Oracle, queste librerie in Microsoft Exchange 2007, Microsoft Exchange 2010 e FAST Search Server 2010 per SharePoint. Non siamo a conoscenza di attacchi che cercano di sfruttare questa vulnerabilità, ma raccomandiamo di utilizzare i workaround descritti nell'Advisory per mitigare l'impatto sulle piattaforme sopra riportate.

    Stiamo lavorando ad un aggiornamento per risolvere il problema. Nel frattempo, il Security Research & Defense team ha pubblicato un articolo che fornisce maggiori informazioni riguardo la vulnerabilità, descrivendo dettagli sui workaround descritti nell'Advisory. Pubblicheremo maggiori informazioni non appena saranno disponibili.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Gadget, certificati e gli aggiornamenti di Luglio 2012

    Ciao a tutti! Oggi sono stati rilasciati nove aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in Microsoft Windows, Internet Explorer, Visual Basic for Applications e Microsoft Office. Inoltre sono stati rilasciati due security advisory. Prima di entrare nel dettaglio con gli aggiornamenti mensili, andremo ad analizzare i due advisory.

    Security Advisory 2719662

    L'aggiornamento documentato in questo security advisory permette agli amministratori di disabilitare la Windows Sidebar e i Gadget su Windows Vista e 7 tramite un pacchetto Fix It. Come molti di voi sapranno, Windows 8 non supporterà queste due feature, e gli sviluppatori stanno già spostando la loro attenzione sul Windows Store. Nel frattempo, abbiamo scoperto che alcuni gadget per Vista e 7 non seguono le security best practice. Abbiamo, quindi, deciso di rimuovere il supporto alla Windows Gadget Gallery a partire da oggi, e di fornire un pacchetto Fix It per disabilitare i Gadget.

    Security Advisory 2728973

    Come annunciato il mese scorso, stiamo preparando un aggiornamento defense-in-depth che cambia il modo in cui Windows gestisce certificati con una chiave RSA minore di 1024 bit. Una volta rilasciato questo aggiornamento, tutti i certificati aventi una chiave con queste caratteristiche saranno considerati non validi, anche se firmati da una certificate authority riconosciuta. Maggiori informazioni sono disponibili nel blog post del mese scorso pubblicato dal Public Key Infrastructure (PKI) team.

    Nel frattempo, durante un ciclo di audit interno dei certificati, ne abbiamo identificati alcuni che non rispettano i nostri standard di sicurezza. Sebbene non abbiamo evidenze che questi certificati siano stati compromessi o utilizzati abusivamente, li abbiamo comunque revocati per precauzione. Parte di essi sarebbero potuti essere usati per firmare codice, e sono stati piazzati nell'Untrusted Certificate Store. Per maggiori informazioni, fare riferimento al Security Advisory 2728973. Infine, incoraggiamo nuovamente gli utenti ad installare l'aggiornamento KB2677070), che fornisce un sistema automatico per aggiornare la Disallowed Certificate Trust List su Windows Vista e Windows 7. Questo sistema è stato rilasciato il mese scorso, e oggi viene rilasciato nuovamente come aggiornamento non opzionale.

    Aggiornamenti di sicurezza
    Come detto in precedenza, oggi vengono anche rilasciati 9 aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in vari prodotti Microsoft, tra cui Windows e Internet Explorer. Per gli utenti che devono programmare l'installazione degli aggiornamenti, questi tre meritano un'attenzione particolare:

    • MS12-043 - Microsoft XML Core Services: Questo aggiornamento risolve una vulnerabilità Critica, che se sfruttata permetterebbe l'esecuzioen di codice da remoto. Questo aggiornamento risolve la vulnerabilità in Windows discussa il mese scorso nel Security Advisory 2719615.
    • MS12-045 - Microsoft Data Access Components [MDAC]: Questo aggiornamento risolve una vulnerabilità Critica in Windows, che se sfruttata permetterebbe l'esecuzione di codice da remoto. Questa vulnerabilità è stata riportata privatamente, e non sono stati rilevati attacchi. Ciò nonostante, consigliamo di rivedere il bollettino associato ed installare l'aggiornamento il prima possibile.
    • MS12-044 - Internet Explorer: Questo aggiornamento corregge due vulnerabilità Critiche in Internet Explorer. Anche in questo caso, le vulnerabilità sono state riportate privatamente e non ci sono evidenzedi attacchi.

    Gli altri sei bollettini sono relativi a vulnerabilità Importanti in Windows, Visual Basic for Applications e Office (SharePoint e Office per Mac).

    Di seguito la tabella con la lista completa delle priorità:

    Mentre la seguente è la tabella con l'aggregato di rischio e Exploitability Index:

    Nell'SRD blog sono stati pubblicati tre articoli con approfondamenti tecnici relativi agli aggiornamenti di questo mese:

    Maggiori informazioni sui bollettini sono disponibili nella pagina di Riepilogo dei bollettini Microsoft sulla sicurezza di luglio.

    Gerardo Di Giacomo
    Security Program Manager - MSRC