Ciao a tutti! Oggi sono stati rilasciati nove aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in Microsoft Windows, Internet Explorer, Visual Basic for Applications e Microsoft Office. Inoltre sono stati rilasciati due security advisory. Prima di entrare nel dettaglio con gli aggiornamenti mensili, andremo ad analizzare i due advisory.
L'aggiornamento documentato in questo security advisory permette agli amministratori di disabilitare la Windows Sidebar e i Gadget su Windows Vista e 7 tramite un pacchetto Fix It. Come molti di voi sapranno, Windows 8 non supporterà queste due feature, e gli sviluppatori stanno già spostando la loro attenzione sul Windows Store. Nel frattempo, abbiamo scoperto che alcuni gadget per Vista e 7 non seguono le security best practice. Abbiamo, quindi, deciso di rimuovere il supporto alla Windows Gadget Gallery a partire da oggi, e di fornire un pacchetto Fix It per disabilitare i Gadget.
Come annunciato il mese scorso, stiamo preparando un aggiornamento defense-in-depth che cambia il modo in cui Windows gestisce certificati con una chiave RSA minore di 1024 bit. Una volta rilasciato questo aggiornamento, tutti i certificati aventi una chiave con queste caratteristiche saranno considerati non validi, anche se firmati da una certificate authority riconosciuta. Maggiori informazioni sono disponibili nel blog post del mese scorso pubblicato dal Public Key Infrastructure (PKI) team.
Nel frattempo, durante un ciclo di audit interno dei certificati, ne abbiamo identificati alcuni che non rispettano i nostri standard di sicurezza. Sebbene non abbiamo evidenze che questi certificati siano stati compromessi o utilizzati abusivamente, li abbiamo comunque revocati per precauzione. Parte di essi sarebbero potuti essere usati per firmare codice, e sono stati piazzati nell'Untrusted Certificate Store. Per maggiori informazioni, fare riferimento al Security Advisory 2728973. Infine, incoraggiamo nuovamente gli utenti ad installare l'aggiornamento KB2677070), che fornisce un sistema automatico per aggiornare la Disallowed Certificate Trust List su Windows Vista e Windows 7. Questo sistema è stato rilasciato il mese scorso, e oggi viene rilasciato nuovamente come aggiornamento non opzionale.
Aggiornamenti di sicurezzaCome detto in precedenza, oggi vengono anche rilasciati 9 aggiornamenti, tre Critici e sei Importanti, che correggono 16 vulnerabilità in vari prodotti Microsoft, tra cui Windows e Internet Explorer. Per gli utenti che devono programmare l'installazione degli aggiornamenti, questi tre meritano un'attenzione particolare:
Gli altri sei bollettini sono relativi a vulnerabilità Importanti in Windows, Visual Basic for Applications e Office (SharePoint e Office per Mac).
Di seguito la tabella con la lista completa delle priorità:
Mentre la seguente è la tabella con l'aggregato di rischio e Exploitability Index:
Nell'SRD blog sono stati pubblicati tre articoli con approfondamenti tecnici relativi agli aggiornamenti di questo mese:
Maggiori informazioni sui bollettini sono disponibili nella pagina di Riepilogo dei bollettini Microsoft sulla sicurezza di luglio.
Gerardo Di Giacomo Security Program Manager - MSRC
Oggi è stato rilasciato il quarto Microsoft Security Response Center (MSRC) Progress Report. Questo rapporto evidenza il progresso di varie iniziative di information sharing di Microsoft, che incoraggiono la collaborazione nell'industria della sicurezza, aumentano le difese basate sulla community e proteggono in modo migliore gli utenti.
Questo nuovo rapporto fornisce informazioni riguardo:
Alcuni punti cardine del rapporto:
Durante i 12 mesi antecedenti a Giugno 2012, Microsoft ha rilasciato 90 bollettini di sicurezza, risolvendo 203 vulnerabilità singole.
Delle vulnerabilità risolte da Microsoft da Luglio 2011 a Giugno 2012, il 50% permetterebbe di eseguire codice da remoto, contro il 62.8% dello scorso periodo.
I 90 bollettini di sicurezza pubblicati da Luglio 2011 a Giugno 2012 hanno un Exploitability Index totale di 190.
Un'analisi dei diversi deployment scenario evidenzia come l'Exploitability Index aiuti le aziende a mitigare i costi e permetta loro di allocare le risorse in maniera più efficace.
Da Luglio 2011, il programma Microsoft Vulnerability Research ha identificato e pubblicato in maniera coordinata 96 vulnerabilità software, collaborando con un totale di 39 vendor.
L'utilizzo della Coordinated Vulnerability Disclosure (CVD) è aumentato fino a stabilire un nuovo record durante il periodo da Luglio 2011 a Giugno 2012. Delle vulnerabilità risolte da Microsoft, il 91% sono state riportate tramite CVD, contro l'84% dello scorso periodo.
Il report contiene altre informazioni utili: se siete curiosi di avere tutte le statistiche, leggere cosa succede durante un rilascio out-of-band o avere informazioni sull'efficacia di EMET, vi consiglio di scaricare il report completo.
Gerardo Di GiacomoSecurity Program Manager - MSRC
Pochi minuti fa è stato rilasciato il Security Advisory 2737111 che fornisce dei workaround per proteggere gli utenti da una vulnerabilità in una delle librerie di Oracle Outside In, aggiornate qualche giorno fa. Microsoft utilizza, tramite una collaborazione con Oracle, queste librerie in Microsoft Exchange 2007, Microsoft Exchange 2010 e FAST Search Server 2010 per SharePoint. Non siamo a conoscenza di attacchi che cercano di sfruttare questa vulnerabilità, ma raccomandiamo di utilizzare i workaround descritti nell'Advisory per mitigare l'impatto sulle piattaforme sopra riportate.
Stiamo lavorando ad un aggiornamento per risolvere il problema. Nel frattempo, il Security Research & Defense team ha pubblicato un articolo che fornisce maggiori informazioni riguardo la vulnerabilità, descrivendo dettagli sui workaround descritti nell'Advisory. Pubblicheremo maggiori informazioni non appena saranno disponibili.