Ad un anno dalla promessa di Steve Ballmer di rendere più elevato lo standard di sicurezza dei prodotti Microsoft (era l’Ottobre del 2003), l’azienda di Redmond si trova a dover affrontare 22 falle rilasciando una serie di aggiornamenti definiti “critici”. L’aggiornamento immediato del sistema permetterà agli utenti di poter utilizzare il sistema in sicurezza, mentre in caso contrario il tutto rimarrà vulnerabile ed i contenuti della macchina a grave rischio.
Gli update proposti da Microsoft nel bollettino di sicurezza di Ottobre contemplano svariati bug distribuiti a livello sia di Windows, sia di Office, sia di Internet Explorer. Si sottolinea il coinvolgimento di Exchange, Excel ed IIS, ma la stessa Microsoft evidenzia come i bug di maggiore pericolosità si concentrino nel browser IE. 11 i pacchetti rilasciati:
- MS04-038
Il pacchetto consiste in un update cumulativo per Internet Explorer e risolve 8 falle emerse nel browser ed in grado di permettere l’esecuzione di codice da remoto. Scheda tecnica su Sicurezza.HTML.it; - MS04-037
Il problema è inerente al problema emerso all’interno del cosiddetto “Windows Shell“: un exploit attuabile tramite la semplice composizione di una apposita pagina web può permettere di ottenere il pieno controllo del sistema da remoto; - MS04-036
Il problema è identificato all’interno del cosiddetto NNTP (Network News Transfer Protocol) e permette l’accesso ai dati contenuti nel sistema direttamente da remoto, mettendo così in situazione di rischio tutto quanto contenuto all’interno del sistema; - MS04-035
Il problema è riscontrato all’interno di Microsoft Exchange Server 2003, Windows XP 64-Bit Edition Version 2003, e Windows Server 2003 ed è inerente all’errata interpretazione di particolari DNS. Un exploit eretto sulla composizione di un DNS specifico permette di ottenere pieno controllo della macchina vulnerabile; - MS04-034
Il problema, riscontrato in Windows XP (immune il SP2) e Windows 2003, concerne la compressione dei file. Essendo necessaria l’interazione dell’utente, la pericolosità di un eventuale exploit risulta mitigata da quest’ultimo aspetto; - MS04-033
Il problema è identificato all’interno di Microsoft Excel e risulta coinvolta anche la versione del software per Mac. L’exploit è attuabile creando una apposita pagina web alla quale ne va in seguito forzato l’accesso ed il pericolo è quello di una perdita del controllo del sistema a vantaggio di chi opera l’attacco da remoto. Scheda tecnica su Sicurezza.HTML.it; - MS04-032
Il pacchetto risolve una serie di problematiche riscontrate all’interno di vari sistemi Windows (da cui escludere XP SP2). Nella fattispecie va sottolineata la risoluzione dei noti problemi relativi alla Virtual DOS Machine, al kernel Windows ed ai metafile prodotti dal sistema nel contesto dei processi grafici del sistema; - MS04-031
La vulnerabilità è identificata all’interno del cosiddetto NetDDE (Network Dynamic Data Exchange). Il problema ha però un importante fattore mitigante, ovvero la disattivazione standard del componente tale per cui solo una attivazione manuale del tutto è in grado di aprire il sistema al pericolo proveniente dall’esterno; - MS04-030
La falla è stata identificata all’interno di IIS 5.0, IIS 5.1 e IIS 6.0 ed è inerente alle richieste WebDAV: un attacco da remoto può giungere ad erodere le risorse di memoria del sistema e forzare un riavvio di IIS per il ripristino della situazione; - MS04-029
Il problema sorge nel momento in cui particolari messaggi vengono interpretati dalla “RPC Runtime Library“: un attacco apposito può portare al DoS, ma va considerato come il tutto sia attuabile solo su piattaforma NT; - MS04-028
L’ultimo, ma probabilmente il più atteso tra i pacchetti di aggiornamento, è l’update relativo alla nota falla relativa ai processi di interpretazione dei file Jpeg. Il pericolo di buffer overrun è importante in quanto la falla è stata riscontrata in molti dei prodotti Microsoft largamente diffusi tra l’utenza. Inoltre il codice di exploit sarebbe già stato identificato e diffuso in Rete.