Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

September, 2012

  • Rilasciato MS12-063 - Aggiornamento cumulativo per la protezione di Internet Explorer

    E' stato rilasciato il Security Update MS12-063 per correggere una vulnerabilità sfruttata per attacchi mirati verso un numero limitato di sistemi. Tale vulnerabilità affligge Internet Explorer 9 e precedenti. Internet Explorer 10 non presenta la vulnerabilità. La maggior parte degli utenti usufruiscono degli aggiornamenti automatici e non dovranno eseguire nessuna operazione per installare l'aggiornamento. Coloro i quali non utilizzano gli aggiornamenti automatici sono invitati ad installare l'aggiornamento il prima possibile.

    Oltre a risolvere la vulnerabilità descritta nel Security Advisory 2757760, MS12-063 risolve altre quattro vulnerabilità, riportate privatamente, e che ad oggi non sono utilizzate in attacchi.

    Maggiori informazioni relative a questo aggiornamento sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - settembre 2012.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il Security Advisory 2755801 per risolvere vulnerabilità in Adobe Flash Player

    E' stato rilasciato il Security Advisory 2755801 per risolvere alcune vulnerabilità presenti nell'Adobe Flash Player incluso in Internet Explorer 10 su Windows 8. La maggior parte degli utenti, cioè coloro i quali usufruiscono di Automatic Updates, riceveranno automaticamente l'aggiornamento e non dovranno eseguire nessuna operazione. Gli utenti che non utilizzano gli aggiornamenti automatici sono invitati a leggere l'advisory per informazioni su come installare l'aggiornamento, sia tramite i prodotti di gestione degli aggiornamenti sia manualmente.

    Ultimamente ci sono state delle discussioni relative al nostro processo di aggiornamento relativo ad Adobe Flash Player. Microsoft sta prendendo gli adeguati provvedimenti per proteggere gli utenti, e stiamo lavorando con Adobe per rilasciare aggiornamenti di qualità e che si allineano con il processo di aggiornamento di Adobe.

    Riguardo Adobe Flash Player in Internet Explorer 10, gli utenti dovranno aspettarsi:

    • Un aggiornamento trimestrale, seguendo la cadenza regolare di Adobe.
    • Nel caso in cui il panorama di rischio richiede azioni immediate e fuori dalla cadenza regolare, lavoreremo con Adobe per essere allineati con i loro piani. Ciò può significare che in alcuni casi rilasceremo aggiornamenti al di fuori del nostro ciclo mensile.

    Come sempre, raccomandiamo gli utenti di visitare la pagina relativa al Security Advisory per maggiori informazioni, ed assicurarsi che l'aggiornamento venga installato.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Fix it per Internet Explorer disponibile, Security Update previsto per venerdì

    Oggi è stato rilasciato un pacchetto Fix it che permette di mitigare la vulnerabilità di Internet Explorer descritta nel Security Advisory 2757760. Una volta installato il pacchetto, il sistema sarà protetto automaticamente e senza dover riavviare. Maggiori informazioni tecniche relative alla vulnerabilità e al pacchetto Fix it sono disponibili in questo articolo sull'SRD blog.

    Il prossimo venerdì inoltre rilasceremo un aggiornamento per Internet Explorer tramite Windows Update e tutti gli altri canali di distribuzione standard. Suggeriamo agli utenti di installare questo aggiornamento il prima possibile. Ovviamente, se si utilizza Automatic Update, non sarà necessaria nessuna azione, e l'aggiornamento sarà installato automaticamente. Non solo questo aggiornamento correggerà in maniera definitiva la vulnerabilità, ma risolverà anche altre 4 vulnerabilità, tutte remote code execution. L'aggiornamento (MS12-063) sarà Critico.

    Maggiori informazioni sono disponibili nell'Advance Notification Service (ANS) di oggi.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Maggiori informazioni su Internet Explorer ed il Security Advisory 2757760

    Nei prossimi giorni verrà rilasciato un Fix it per risolvere il problema in Internet Explorer descritto nel Security Advisory 2757740, rilasciato poche ore fa.

    Sebbene stiamo riscontrando un numero limitato di attacchi, estremamente mirati in natura, abbiamo preso questa decisione in maniera proattiva per far si che gli utenti che utilizzano Internet Explorer siano protetti mentre navigano.

    Il pacchetto Fix it è una soluzione robusta che chiunque può installare. Non limiterà l'esperienza di navigazione e fornirà una protezione completa fino a quando un aggiornamento sarà disponibile. Una volta installato, non sarà necessario riavviare il sistema.

    Questo Fix it sarà disponibile nei prossimi giorni. Fino ad allora, incoraggiamo gli utenti di rivedere l'advisory ed applicare i workaround proposti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il Security Advisory 2757760

    E' stato appena rilasciato il Security Advisory 2757760 riguardante una vulnerabilità che affligge Internet Explorer 9 e precedenti. Internet Explorer 10 non è affetto.

    Abbiamo ricevuto notifica di un numero limitato di attacchi, principalmente mirati, e stiamo lavorando per rilasciare un aggiornamento di sicurezza per risolvere il problema. Nel frattempo, gli utenti che utilizzano Internet Explorer possono proteggersi applicando i seguenti workaround:

    • Installare l'Enhanced Mitigation Experience Toolkit (EMET)
      Questo aiuterà a prevenire l'exploitation aggiungendo strati di protezione ad Internet Explorer; la normale navigazione non dovrebbe subire nessuna limitazione.
    • Impostare il livello delle aree di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script
      Questo aiuterà a prevenire l'exploitation ma comprometterà la normale navigazione; è consigliato aggiungere i siti affidabili nella lista Siti Attendibili nelle impostazioni di Internet Explorer per limitare i problemi di navigazione.
    • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script oppure disattivare tali script nell'area di protezione Internet e Intranet locale
      Questo aiuterà a prevenire l'exploitation ma comprometterà la normale navigazione; è consigliato aggiungere i siti affidabili nella lista Siti Attendibili nelle impostazioni di Internet Explorer per limitare i problemi di navigazione.

    Installare EMET aiuterà a prevenire lo sfruttamento della vulnerabilità descritta nel Security Advisory 2757760 da parte di un sito malevolo. Una volta installato, EMET non dovrebbe compromettere l'esperienza web.

    Continuiamo a monitorare il panorama di rischio con molta attenzione, e, se la situazione dovesse cambiare, pubblicheremo ulteriori dettagli.

    Come sempre, incoraggiamo gli utenti a seguire le linee guida standard per proteggere i propri computer, come abilitare il firewall, installare tutti gli aggiornamenti di sicurezza, ed installare e aggiornare software anti-virus. Incoraggiamo inoltre a fare attenzione a link sospetti o ad aprire messaggi di posta da mittenti sconosciuti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Gli aggiornamenti di Settembre 2012 e certificati

    Sono stati appena rilasciati due aggiornamenti di sicurezza, entrambi Importanti. Questi aggiornamenti correggono due vulnerabilità, nei seguenti prodotti:

    • MS12-061 - Visual Studio Team Foundation Server: risolve una vulnerabilità riportata privatamente che affligge Microsoft Visual Studio Team Foundation Server 2010 Service Pack 1.
    • MS12-062 - System Center Configuration Manager: risolve una vulnerabilità riportata privatamente che affligge Microsoft Systems Management Server 2003 Service Pack 3 e Microsoft System Center Configuration Manager 2007 Service Pack 2.

    Come specificato, nessuna delle vulnerabilità corrette è nota pubblicamente o è sotto attacco. Inoltre, gli aggiornamenti non richiedono un riavvio del sistema.

    Come sempre, raccomandiamo di installare tutti gli aggiornamenti il prima possibile. In caso si dovesse prioritizzare l'installazione, suggeriamo di cominciare con l'installare MS12-062, come riportato nella tabella seguente:

    Mentre la tabella con l'aggregato di rischio ed exploitability index è la seguente:

    Maggiori informazioni sugli aggiornamenti di questo mese possono essere trovate alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - settembre 2012.

    Un'altra cosa da tenere in mente questo mese, dato il basso volume di aggiornamenti rilasciati, è che durante il prossimo ciclo di aggiornamenti sarà distribuito tramite Windows Update l'aggiornamento descritto nel Security Advisory 2661254. Come annunciato in precedenza, il security advisory descrive un cambiamento in Windows che non considererà affidabili tutti i certificati aventi chiave RSA minore di 1024 bit.

    Questo aggiornamento è stato inizialmente reso disponibile ad Agosto tramite il Download Center ed il Microsoft Update Catalog. Alcuni dei problemi noti che gli utenti possono riscontrare dopo aver installato l'aggiornamento sono i seguenti:

    • Messaggi d'errore durante la navigazione verso siti web aventi certificati SSL con chiavi minori da 1024 bit
    • Problemi di enrolling di certificati quando una richiesta prova ad utilizzare una chiave minore di 1024 bit
    • Difficoltà nel creare od utilizzare messaggi email (S/MIME) che utilizzano chiavi minori di 1024 bit per firmare o cifrare
    • Difficoltà nell'installare controlli ActiveX firmati con un certificato avente una chiave minore di 1024 bit
    • Difficoltà nell'installare applicazioni firmate con un certificato avente una chiave minore di 1024 bit - ad esclusione da quelle firmate prima del primo gennaio 2010, i quali non verranno bloccate

    Continueremo ad investigare, sia internamente che tramite collaborazioni con altri vendor, metodi per migliorare la sicurezza dei nostri prodotti. Quest'aggiornamento relativo ai certificati è un'altra misura di difesa che aumenterà la robustezza dell'ecosistema di Windows.

    Gerardo Di Giacomo
    Security Program Manager - MSRC