Security Advisory 2661254 - Update For Minimum Certificate Key Length

Abbiamo annunciato questo cambiamento a Giugno, ed oggi annunciamo, tramite il Security Advisory 2661254, la disponibilità di un aggiornamento che limita l'utilizzo di certificati con chiavi RSA minori di 1024 bit. Come descritto nell'advisory, questo aggiornamento sarà disponibile nel Download Center e nel Microsoft Update Catalog per permettere agli amministratori di rete di scaricare ed importare l'aggiornamento in WSUS e testarlo prima di distribuirlo su larga scala. Il security advisory inoltre fornisce istruzioni su come configurare l'aggiornamento e linee guida per essere più sicuri. Questo aggiornamento sarà distribuito tramite Windows Update nel mese di Ottobre 2012.

Per avere maggiori informazioni sul modo in cui Windows gestisce i certificati è possibile recarsi al Public Key Infrastructure (PKI) blog

Aggiornamenti di sicurezza

Oggi sono stati rilasciati nove aggiornamenti, cinque Critici e quattro Importanti, che risolvono 26 vulnerabilità in Microsoft Windows, Internet Explorer, Exchange Server, SQL Server, Developer Tools e Office. Sebbene incoraggiamo sempre di installare tutti gli aggiornamenti il prima possibile, suggeriamo di prioritizzare i seguenti:

Tutti e tre gli aggiornamenti risolvono vulnerabilità che, se sfruttate, nel peggiore dei casi permetterebbero ad un attacker di eseguire codice arbitrario da remoto sul sistema vittima. La vulnerabilità risolta in MS12-060 e che affligge tra gli altri Microsoft Office, SQL Server e i Developer Tools è stata sfruttata in maniera limitata per attacchi mirati, ma non abbiamo evidenza di Proof-of-Concept o exploit pubblici. Le vulnerabilità relative agli altri due bollettini, invece, sono state riportate in maniera coordinata a Microsoft.

Re-release di MS12-043

Il mese scorso abbiamo rilasciato MS12-043 per risolvere una vulnerabilità relativa ai Microsoft XML Core Services. L'aggiornamento di Luglio forniva aggiornamenti per Microsoft XML Core Services 3.0, 4.0 e 6.0. Questo mese rilasciamo nuovamente MS12-043 con aggionamenti che correggono Microsoft XML Core Services 5.0. Questo nuovo aggiornamento non prevede cambiamenti nel precedente.

Maggiori informazioni sugli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - agosto 2012.

La seguente è la tabella relativa alle priorità di tutti gli aggiornamenti:

 

Mentre la seguente è tabella con l'aggregato di rischio e di Exploitability Index:

Gerardo Di Giacomo
Security Program Manager - MSRC