Alla fine di ogni anno, ci si sofferma ad annotare la previsioni per il nuovo anno. Tim Rains, Director del Product Management del Microsoft Trustworthy Computing, ne ha fatte alcune riguardo cosa probabilmente succederà nel 2013.

La quarta delle cinque è probabilmente quella più attinente agli aggiornamenti di sicurezza del nuovo anno.

"Previsione #4: Gli aggiornamenti software saranno più facili e sfruttare vulnerabilità sarà più difficile."

Lavoriamo costantemente per assicurarci che gli aggiornamenti di sicurezza siano il più facile possibile da installare, e grazie a tecnologie come gli aggiornamenti automatici e Windows Software Update Services (WSUS), questa previsione è probabilmente vera. Nonostante ciò, ci rendiamo conto che tali tecnologie non coprono tutte le applicazioni installate sui sistemi, ed è per questo che speriamo che la previsione di Tim si avveri. Cito parte del suo articolo:

Più vendor come Adobe, Oracle ed altri vendor facilitano l'aggiornamento del proprio software, più la finestra di opportunità per utenti malintenzionati di sfruttare vecchie vulnerabilità si ridurrà.

Probabilmente non avremo mai applicazioni perfette; tuttavia, è incoraggiante vedere che tutta l'industria si sta muovendo nel migliorare le proprie procedure d'aggiornamento.

Passiamo ora alla notizia del giorno. Oggi sono stati rilasciati sette aggiornamenti, due Critici e cinque Importanti, che risolvono 12 vulnerabilità in Microsoft Windows, Office, Developer Tools e Windows Server. Per coloro i quali devono prioritizzare l'installazione degli aggiornamenti, raccomandiamo di mettere in cima alla lista il seguente:

MS13-002 - Microsoft XML Core Services

Questo aggiornamento risolve due vulnerabilità in Microsoft XML Core Services che, se sfruttate, permettono l'esecuzione di codice da remoto visitando una pagina web contenente codice malevolo. Come noterete, gli aggiornamenti sono relativi a Microsoft Windows, Office, ed alcuni software dei gruppi Developer Tools e Server. Ciò significa che verranno offerti diversi pacchetti per risolvere totalmente la vulnerabilità, a seconda del sistema. Come in tutti gli altri casi degli aggiornamenti di oggi, queste vulnerabilità sono state riportate privatamente e non siamo a conoscenza di attacchi.

Security Advisory 2755801

Abbiamo anche aggiornato il Security Advisory 2755801 per annunciare la disponibilità di un aggiornamento che corregge alcune vulnerabilità in Adobe Flash Player per Internet Explorer 10. Questo è un aggiornamento cumulativo, ciò significa che non c'è bisogno di installare gli aggiornamenti precedenti per essere protetti.

Security Advisory 973811

Questo security advisory è stato aggiornato per annunciare la disponibilità di un pacchetto Fix It che forza Windows XP e Windows Server 2003 ad accettare solo NTLMv2. Tale restrizione è stata sempre considerata una best practice, e questa release permetterà di modificare questa configurazione in modo facile. Anche il relativo articolo KB è stato aggiornato per includere tutte le raccomandazioni e best practice relative ai vari scenari d'autenticazione che utilizzano NTLM. Il Fix It inoltre abilita le configurazioni necessarie per permettere agli utenti di autenticarsi tramite l'Extended Protection Authentication, descritto nell'advisory.

Nonostante consigliamo sempre di installare tutti gli aggiornamenti il prima possibile, la seguente è la consueta tabella con i nostri suggerimenti su quale aggiornamento prioritizzare:

 

Mentre la tabella che mostra l'aggregato di rischio ed Exploitability Index è la seguente:

Alla prossima!

Gerardo Di Giacomo
Security Program Manager - MSRC