Sono stati appena rilasciati due aggiornamenti di sicurezza, entrambi Importanti. Questi aggiornamenti correggono due vulnerabilità, nei seguenti prodotti:

  • MS12-061 - Visual Studio Team Foundation Server: risolve una vulnerabilità riportata privatamente che affligge Microsoft Visual Studio Team Foundation Server 2010 Service Pack 1.
  • MS12-062 - System Center Configuration Manager: risolve una vulnerabilità riportata privatamente che affligge Microsoft Systems Management Server 2003 Service Pack 3 e Microsoft System Center Configuration Manager 2007 Service Pack 2.

Come specificato, nessuna delle vulnerabilità corrette è nota pubblicamente o è sotto attacco. Inoltre, gli aggiornamenti non richiedono un riavvio del sistema.

Come sempre, raccomandiamo di installare tutti gli aggiornamenti il prima possibile. In caso si dovesse prioritizzare l'installazione, suggeriamo di cominciare con l'installare MS12-062, come riportato nella tabella seguente:

Mentre la tabella con l'aggregato di rischio ed exploitability index è la seguente:

Maggiori informazioni sugli aggiornamenti di questo mese possono essere trovate alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - settembre 2012.

Un'altra cosa da tenere in mente questo mese, dato il basso volume di aggiornamenti rilasciati, è che durante il prossimo ciclo di aggiornamenti sarà distribuito tramite Windows Update l'aggiornamento descritto nel Security Advisory 2661254. Come annunciato in precedenza, il security advisory descrive un cambiamento in Windows che non considererà affidabili tutti i certificati aventi chiave RSA minore di 1024 bit.

Questo aggiornamento è stato inizialmente reso disponibile ad Agosto tramite il Download Center ed il Microsoft Update Catalog. Alcuni dei problemi noti che gli utenti possono riscontrare dopo aver installato l'aggiornamento sono i seguenti:

  • Messaggi d'errore durante la navigazione verso siti web aventi certificati SSL con chiavi minori da 1024 bit
  • Problemi di enrolling di certificati quando una richiesta prova ad utilizzare una chiave minore di 1024 bit
  • Difficoltà nel creare od utilizzare messaggi email (S/MIME) che utilizzano chiavi minori di 1024 bit per firmare o cifrare
  • Difficoltà nell'installare controlli ActiveX firmati con un certificato avente una chiave minore di 1024 bit
  • Difficoltà nell'installare applicazioni firmate con un certificato avente una chiave minore di 1024 bit - ad esclusione da quelle firmate prima del primo gennaio 2010, i quali non verranno bloccate

Continueremo ad investigare, sia internamente che tramite collaborazioni con altri vendor, metodi per migliorare la sicurezza dei nostri prodotti. Quest'aggiornamento relativo ai certificati è un'altra misura di difesa che aumenterà la robustezza dell'ecosistema di Windows.

Gerardo Di Giacomo
Security Program Manager - MSRC