Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

January, 2013

  • Previsioni e gli aggiornamenti di Gennaio 2013

    Alla fine di ogni anno, ci si sofferma ad annotare la previsioni per il nuovo anno. Tim Rains, Director del Product Management del Microsoft Trustworthy Computing, ne ha fatte alcune riguardo cosa probabilmente succederà nel 2013.

    La quarta delle cinque è probabilmente quella più attinente agli aggiornamenti di sicurezza del nuovo anno.

    "Previsione #4: Gli aggiornamenti software saranno più facili e sfruttare vulnerabilità sarà più difficile."

    Lavoriamo costantemente per assicurarci che gli aggiornamenti di sicurezza siano il più facile possibile da installare, e grazie a tecnologie come gli aggiornamenti automatici e Windows Software Update Services (WSUS), questa previsione è probabilmente vera. Nonostante ciò, ci rendiamo conto che tali tecnologie non coprono tutte le applicazioni installate sui sistemi, ed è per questo che speriamo che la previsione di Tim si avveri. Cito parte del suo articolo:

    Più vendor come Adobe, Oracle ed altri vendor facilitano l'aggiornamento del proprio software, più la finestra di opportunità per utenti malintenzionati di sfruttare vecchie vulnerabilità si ridurrà.

    Probabilmente non avremo mai applicazioni perfette; tuttavia, è incoraggiante vedere che tutta l'industria si sta muovendo nel migliorare le proprie procedure d'aggiornamento.

    Passiamo ora alla notizia del giorno. Oggi sono stati rilasciati sette aggiornamenti, due Critici e cinque Importanti, che risolvono 12 vulnerabilità in Microsoft Windows, Office, Developer Tools e Windows Server. Per coloro i quali devono prioritizzare l'installazione degli aggiornamenti, raccomandiamo di mettere in cima alla lista il seguente:

    MS13-002 - Microsoft XML Core Services

    Questo aggiornamento risolve due vulnerabilità in Microsoft XML Core Services che, se sfruttate, permettono l'esecuzione di codice da remoto visitando una pagina web contenente codice malevolo. Come noterete, gli aggiornamenti sono relativi a Microsoft Windows, Office, ed alcuni software dei gruppi Developer Tools e Server. Ciò significa che verranno offerti diversi pacchetti per risolvere totalmente la vulnerabilità, a seconda del sistema. Come in tutti gli altri casi degli aggiornamenti di oggi, queste vulnerabilità sono state riportate privatamente e non siamo a conoscenza di attacchi.

    Security Advisory 2755801

    Abbiamo anche aggiornato il Security Advisory 2755801 per annunciare la disponibilità di un aggiornamento che corregge alcune vulnerabilità in Adobe Flash Player per Internet Explorer 10. Questo è un aggiornamento cumulativo, ciò significa che non c'è bisogno di installare gli aggiornamenti precedenti per essere protetti.

    Security Advisory 973811

    Questo security advisory è stato aggiornato per annunciare la disponibilità di un pacchetto Fix It che forza Windows XP e Windows Server 2003 ad accettare solo NTLMv2. Tale restrizione è stata sempre considerata una best practice, e questa release permetterà di modificare questa configurazione in modo facile. Anche il relativo articolo KB è stato aggiornato per includere tutte le raccomandazioni e best practice relative ai vari scenari d'autenticazione che utilizzano NTLM. Il Fix It inoltre abilita le configurazioni necessarie per permettere agli utenti di autenticarsi tramite l'Extended Protection Authentication, descritto nell'advisory.

    Nonostante consigliamo sempre di installare tutti gli aggiornamenti il prima possibile, la seguente è la consueta tabella con i nostri suggerimenti su quale aggiornamento prioritizzare:

     

    Mentre la tabella che mostra l'aggregato di rischio ed Exploitability Index è la seguente:

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato MS13-008 relativo al Security Advisory 2794220

    Oggi è stato rilasciato MS13-008 per correggere la vulnerabilità descritta nel Security Advisory 2794220. Abbiamo osservato un numero limitato di attacchi che sfruttano questa vulnerabilità in Internet Explorer 6-8, ma il potenziale rischio per gli utenti è in crescita. La maggior parte degli utenti che hanno abilitato gli aggiornamenti automatici non dovranno effettuare nessuna operazione perché l'aggiornamento verrà installato automaticamente. Per coloro i quali devono installare l'aggiornamento manualmente, raccomandiamo di installare l'aggiornamento il prima possibile. Raccomandiamo inoltre di aggiornare Internet Explorer alla versione 9/10 se possibile, dato che queste versioni non sono affette.

    Se avete installato il Fix It offerto nel Security Advisory, non è necessario disinstallarlo prima di installare l'aggiornamento rilasciato oggi. In ogni caso, dato che il Fix It non sarà più necessario, raccomandiamo di disinstallarlo dopo aver installato l'aggiornamento.

    Maggiori informazioni sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - gennaio 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il Security Advisory 2798897, aggiornata la Certificate Trust List

    Oggi è stato rilasciato il Security Advisory 2798897 per segnalare il rilevamento di attacchi che utilizzano un certificato fraudolento emesso da TURKTRUST Inc. Per proteggere gli utenti, Microsoft ha aggiornato la Certificate Trust List (CTL) per invalidare i certificati in questione. Invito quindi tutti gli utenti a seguire le istruzioni descritte nel Security Advisory.

    TURKTRUST Inc. ha creato in maniera non corretta due Certificate Authorities secondarie: *.EGO.GOV.TR e e-islam.kktcmerkezbankasi.org. La CA secondaria *.EGO.GOV.TR è stata utilizzata per emettere un certificato fraudolento per *.google.com.

    Gli utenti che utilizzano Windows Vista o successivi che hanno installato il meccanismo per aggiornare la Certificate Trust List automaticamente (rilasciato a Giugno) non dovranno eseguire nessuna azione, in quanto la CTL verrà aggiornata automaticamente.

    Gli utenti che utilizzano Windows XP o Windows Server 2003, o gli utenti che non hanno installato la feature sopra citata, dovranno applicare manualmente l'aggiornamento utilizzando Microsoft Update, o scaricando ed installando manualmente l'aggiornamento.

    Per maggiori informazioni fare riferimento al Security Advisory 2798897.

    Gerardo Di Giacomo
    Security Program Manager - MSRC