Eccoci di nuovo al nostro appuntamento mensile con i bollettini di sicurezza. Oggi sono stati rilasciati otto aggiornamenti, tre Critici e cinque importanti, che correggono 23 vulnerabilità in Microsoft Windows, Internet Explorer ed Exchange. Raccomandiamo come sempre di installare tutti gli aggiornamenti il prima possibile. Nel caso questo non fosse possibile, raccomandiamo di priorizzare (grazie Dario ;) i seguenti aggiornamenti:

Aggiornamento cumulativo per la protezione di Internet Explorer (MS13-059)

Questo aggiornamento risolve undici vulnerabilità in Internet Explorer, tutte riportate privatamente. Tutte le vulneraiblità permettono ad un attacker di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, convincendo una potenziale vittima a visitare un sito malevolo. Questo aggiornamento è Critico per tutte le versioni di Internet Explorer. Ad oggi non sono stati rilevati attacchi che cercano di sfurttare le vulnerabilità risolte da questo aggiornamento.

Una vulnerabilità in Unicode Scripts Processor può consentire l'esecuzione di codice in modalità remota (MS13-060)

Questo aggiornamento risolve una vulnerabilità, riportata privatamente, in Windows che permette ad un attacker di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, convincendo una potenziale vittima a visitare un sito malevolo. Questo aggiornamento è Critico per Windows XP e Windows Server 2003. Anche in questo caso non sono stati rilevati attacchi che cercano di sfruttare questa vulnerabilità.

Aggiornamenti per il miglioramento dell'Autenticazione a livello di rete nel protocollo RDP (Advisory sulla sicurezza 2861855)

Questo aggiornamento aggiunge una misura defense-in-depth alla tecnologia Network Level Authentication (NLA) utilizzata dal Remote Desktop Protocol in Microsoft Windows. 

Aggiornamento per la disattivazione dell'algoritmo di hash MD5 per il programma Microsoft Root Certificate (Advisory sulla sicurezza 2862973)

Questo aggiornamento interessa applicazioni e servizi che utilizzano certificati con hash MD5. Una volta installato l'aggiornamento, Windows non considererà affidabili i certificati che utilizzano MD5. Questa restrizione è limitata solo ai certificati generati da Root CA appartenenti al programma Microsoft Root Certificate, e verrà applicata solo ai certificati utilizzati per server authentication, code signing e time stamping. Ad oggi, è necessario scaricare ed installare l'aggiornamento manualmente, ma verrà rilasciato tramite Microsoft Update a Febbraio 2014.

Di seguito la tabella con le priorità di deployment relative agli aggiornamenti di questo mese:.

 

Mentre di seguito la tabella che mostra l'aggregato di severity ed Exploitability Index:

 

Per maggiori informazioni visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - agosto 2013.

Alla prossima!

Gerardo Di Giacomo
Security Program Manager - MSRC