Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

May, 2013

  • Gli aggiornamenti di Maggio 2013

    La release di Maggio 2013 prevede 10 aggiornamenti che correggono 33 vulnerabilità in diversi prodotti Microsoft.

    Prima di entrare nel dettaglio della release di questo mese, vogliamo annunciare una novità che riguarda gli utenti enterprise. Da oggi è possibile identificare gli aggiornamenti di sicurezza all'interno di Security Advisory. I cambi permettono di:

    • Classificare in maniera più accurata gli aggiornamenti di sicurezza che non hanno una severity assegnata;
    • Classificare in maniera corretta gli aggiornamenti distribuiti tramite Security Advisory che non sono strettamente collegati ad una vunlerabilità ma che hanno implicazioni di sicurezza.

    Per questi aggiornamenti è possibile che il valore nel campo "Severity" sia "Non Assegnato". C'è da ricordare inoltre che i cambiamenti sono relativi agli aggiornamenti rilasciati a partire da Maggio 2013 e non verrà effettuato nessun cambiamento agli aggiornamenti precedenti. Maggiori informaizoni sono disponibili a questa pagina.

    Ma ora torniamo agli aggiornamenti di oggi. Come già detto, gli aggiornamenti di oggi sono dieci, due Critici ed otto Importanti, che correggono 33 vulnerabilità in Internet Explorer, Microsoft Windows, Microsoft Office, Server and Tools e .NET Framework. Suggeriamo di prioritizzare gli aggiornamenti MS13-037, MS13-038 e MS13-039.

    MS13-037 - Cumulative Security Update for Internet Explorer (Critico)

    Questo aggiornamento risolve 11 vulnerabilità in Internet Explorer che permettono l'esecuzione di codice da remoto se un utente visita una pagina web con contenuto malevolo. Questo aggiornamento è applicabile a tutte le versioni supportate di Internet Explorer. Tutte le vulnerabilità corrette sono state riportate privatamente e non sono stati rilevati attacchi che tentano di sfruttarle.

    MS13-038 - Security Update for Internet Explorer (Critico)

    Questo aggiornamento risolve la vulnerabilità di Internet Explorer 8 descritta nel Security Advisory 2847140. Come descritto nell'advisory, questa vulnerabilità è stata rilasciata pubblicamente e sono stati rilevati un numero limitato di attacchi. 

    MS13-039 - Vulnerability in HTTP.sys Could Allow Denial of Service (Importante)

    Questo aggiornamento risolve una vulnerabilità in Microsoft Windows che permette di effettuare un Denial of Service spedendo un pacchetto HTTP malevolo ad un servizio che utilizza questo protocollo. L'aggiornamento è applicabile a Windows 8 e Windows Server 2012. La vulnerabilità corretta è stata riportata privatamente e non sono stati rilevati attacchi che tentano di sfruttarla.

    Suggeriamo, come sempre, di installare tutti gli aggiornamenti il prima possibile.

    La seguente è la tabella che mostra le priorità di tutti gli aggiornamenti rilasciati questo mese:

    Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index:

     

    Ulteriori informazioni relative agli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - maggio 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Disponibile il Fix It per il Security Advisory 2847140

    Abbiamo aggiornato il Security Advisory 2847140 ed è ora disponibile un pacchetto Fix It per risolvere gli exploit conosciuti che cercano di sfruttare la vulnerabilità descritta nel security advisory. A differenza degli altri workaround, il Fix It non dovrebbe interferire con l'esperienza di navigazione. Una volta installato il Fix It non è necessario effettuare un riavvio del computer. Chi utilizza Internet Explorer 8 è invitato ad installare il Fix It per proteggere il proprio sistema. Ricordiamo che Internet Explorer 6, 7, 9 e 10 non sono affetti da questa vulnerabilità.

    Di seguito i link per scaricare sia il Fix It per installare il workaround sia quello per disinstallarlo:

    InstallazioneDisinstallazione

    Abbiamo sviluppato l'aggiornamento per risolvere la vulnerabilità in maniera definitiva, ed è in fase di testing. L'aggiornamento verrà rilasciato appena pronto.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

     

  • Rilasciato il Security Advisory 2847140

    È stato appena rilasciato il Security Advisory 2847140 che avvisa di attacchi che cercano di sfruttare una vulnerabilità in Internet Explorer 8. Internet Explorer 6, 7, 9 e 10 non sono affetti. Questa vulnerabilità permette l'esecuzione di codice arbitrario se una potenziale vittima visita un sito malevolo con una versione vulnerabile di Internet Explorer.

    Come detto, Internet Explorer 9 e 10 non sono affetti da questa vulnerabilità, quindi una soluzione è, ove possibile, aggiornare il browser ad una di queste versioni.

    Mentre stiamo lavorando ad un aggiornamento per risolvere la vulnerabilità, raccomandiamo gli utenti che utilizzano Internet Explorer 8 di applicare i seguenti workaround:

    • Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script in queste aree
    • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script oppure disattivare tali script nell'area di protezione Internet e Intranet locale

    Entrambi i workaround aiuteranno a prevenire lo sfruttamento della vulnerabilità ma peggioreranno purtroppo l'esperienza di navigazione. È quindi consigliato di aggiungere siti affidabili tra i Siti Attendibili.

    Raccomandiamo infine di essere particolarmente prudenti durante la navigazione e di seguire i suggerimenti proposti nel Safety and Security Center.

    Stiamo monitorando attentamente il panorama di rischio e continueremo a lavorare per offrire agli utenti la massima protezione.

    Gerardo Di Giacomo
    Security Program Manager - MSRC