UICIECHI.IT: SETTEMBRE 2008 - Numero 9.
Microsoft, le patch di settembre sono quattro.
Scritto da Guido Sintoni.
Solo quattro bollettini , pur se tutti a copertura di vulnerabilità definite critiche, rendono leggero il lavoro di sistemisti e utenti privati per rendere sicure le proprie macchine Microsoft. Insomma, c’è in tutti e quattro i casi il rischio di esecuzione arbitraria di codice remoto, ma quello di settembre è un Patch Tuesday non certo gravoso.
La prima patch, descritta nel bollettino MS08-052 , risolve cinque vulnerabilità di Windows GDI+ , il motore grafico di Windows che costituisce uno dei tre cardini di ogni sistema operativo di Redmond: gli altri due sono il kernel e le Api per le interfacce utente. Si tratta di bug che riguardano tutte le versioni di Windows e di software Microsoft, da Internet Explorer al framework .Net: l’aggiornamento è necessario perché è possibile eseguire codice arbitrario semplicemente dando in pasto al motore grafico (ad esempio via Web, con Explorer) un’immagine appositamente creata. I formati vulnerabili sono Vml, Emf e i ben più comuni Bmp, Gif e Wmf (Windows Media File).
La patch descritta dal bollettino MS08-053 si occupa di un bug di Windows Media Encoder 9, che è soggetto a buffer overflow: basta visitare una pagina Web specificamente creata per prendere possesso del sistema vulnerabile. Anche il bollettino MS08-054 riguarda un componente multimediale di Windows: stavolta è Windows Media Player 11 a rivelarsi attaccabile a causa di un’ errata gestione della memoria , e a prestare il fianco all’esecuzione di codice. Nel caso specifico, basta richiamere un file audio erogato da un server Windows Media Server.
L’ultima patch riguarda Office: la descrive il bollettino MS08-055 , che corregge una vulnerabilità del componente OneNote. Interessa Office Xp Sp3, Office 2003 Sp2, Office System 2007 e Office System 2007 Sp1, e Office OneNote 2007 (anche con Service Pack 1): basta seguire una Url appositamente creata per OneNote per provocare un buffer overflow.
La patch più delicata tra le quattro, se non altro per portata, è la prima: GDI+ è stato corretto più volte dal 2004, quando si è rivelato per la prima volta vulnerabile. Se Windows Update e gli altri strumenti di aggiornamento per software Microsoft ne rendono semplice l’aggiornamento, sono le applicazioni di terze parti che fanno uso di questo componente, o parti di esso, a destare preoccupazione; sta quindi ai singoli vendor proporre eventuali patch.
Il prossimo Patch Tuesday - che, come al solito, arriverà agli utenti italiani di mercoledì - è previsto per il 14 ottobre.
Guido Sintoni.