7 falle, 5 delle quali marchiate come “critiche“, una come “importante” e un’altra di “moderata” entità. Sono i contenuti degli ultimi bollettini di sicurezza Microsoft datati 15 Ottobre. Le falle coinvolgono soprattutto Windows 2000 (5 su 7) ma anche gli altri sistemi fino a Windows XP e Windows Server 2003. Due falle sono esplicitamente dedicate a Exchange Server.
Solo la settimana scorsa Microsoft aveva reso noto le nuove politiche di sicurezza in fase di studio: una maggior difesa perimetrale, un rilascio a scadenze fisse delle patch, una maggior educazione dell’utente ed un miglioramento graduale dei margini di sicurezza dei propri sistemi. Il tutto però fa parte del prossimo futuro, e nel contempo Windows Update rimane la sola arma dell’utente.
Tutte le patch segnate come critiche possono permettere, ad un utente che visiti una pagina Web appositamente formattata per sfruttare le falle di sicurezza, l’esecuzione di programmi nocivi sul proprio computer con possibilità di perdita di dati, cancellazioni e manomissioni del software.
Due delle patch critiche (MS03-041 e MS03-042) coinvolgono i controlli ActiveX. Se non fossero installate le patch, Windows potrebbe scaricare ed eseguire programmi nocivi senza il consenso dell’utente semplicemente visitando una pagina Web appositamente preparata per l’attacco oppure visualizzando una mail in Outlook.
La patch MS03-43 riguarda il Messenger Service (nulla a che vedere con il client di Chat Messenger di MSN). Il servizio potrebbe essere utilizzato, attraverso un Buffer Overrun, per eseguire codice arbitrario sulla macchina attaccata all’insaputa dell’utente. Il Messenger Service viene utilizzato per lo scambio di dati fra computer appartenenti ad una stessa rete Windows ed è lo stesso servizio che permette la visualizzazione dei messaggi pop-up di sistema inviati da un computer remoto.
L’ultima patch “critica” per utenti Windows è quella segnata MS03-044 e riguarda il sistema di Help di Microsoft (in italiano “Guida in Linea e supporto tecnico”). Il sistema utilizza un proprio protocollo per la comunicazioni di dati con i server Microsoft (segnato da URL del tipo hcp://… invece di http://…) e potrebbe permettere l’esecuzione di codice nocivo sul computer locale. Le condizioni sono sempre le stesse: visita di una pagina Web contente il codice nocivo o invio per e-mail di un messaggio di posta elettronica.
Tra le patch non viene citato il nuovo bug del servizio RPC DCOM segnalato alcuni giorni orsono su BugTraq e in corso di verifica da parte di Microsoft.
Per aggiornare il sistema è possibile scaricare le singole patch dall’Homepage di Microsoft Security oppure, sistema caldamente consigliato, dal sito di Windows Update che provvederà ad un aggiornamento automatico.