Video: CNET Update - Microsoft fixes big bad Internet Explorer bug (Settembre 2024)
Microsoft ha risolto 33 vulnerabilità in dieci bollettini in Internet Explorer, applicazioni di Office, Windows,.NET framework e Lync nell'ambito della sua release di martedì di maggio.
Dei dieci, solo due bollettini sono classificati come "critici", il livello di gravità più elevato, ha affermato Microsoft nel suo avviso di notifica di Patch Tuesday. Le patch rimanenti sono classificate come "importanti", il che di solito significa che gli attaccanti non sarebbero in grado di sfruttare il difetto senza la partecipazione dell'utente.
"Mentre 10 patch che coprono 33 vulnerabilità possono sembrare un numero elevato, non sono tutte cattive notizie per l'IT", ha affermato Paul Henry, analista di sicurezza e forense di Lumension.
Correzioni per Internet Explorer
Entrambe le patch critiche sono per Internet Explorer. La grande domanda per il Patch Tuesday di questo mese era se Microsoft risolverà il giorno zero riportato di recente in Internet Explorer 8. Microsoft ha rilasciato una soluzione temporanea la scorsa settimana e ha seguito oggi una patch completa (MS13-038).
"È un sollievo vedere che Microsoft ha affrontato questo problema così rapidamente, dal momento che viene sfruttato attivamente", ha detto Henry.
L'altra patch IE (MS13-037) è un aggiornamento cumulativo per le versioni IE 6, 7, 8, 9 e 10 e chiude 11 diverse vulnerabilità, incluse le vulnerabilità segnalate durante la competizione Pwn2Own a marzo.
"A un livello, questo è il massimo della sicurezza di Microsoft", ha detto a SecurityWatch Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7. La società ha prontamente risposto di emettere un avviso di avviso pubblico sul problema, ha eliminato una soluzione temporanea e quindi ha chiuso il difetto come parte di un aggiornamento pianificato, il tutto entro 11 giorni.
D'altra parte, il fatto che Microsoft rilasci praticamente tutte le patch critiche di Internet Explorer ogni mese evidenzia cosa c'è di sbagliato nel modo in cui Microsoft gestisce le patch e il software precedente, ha affermato Barrett. Al contrario, il browser Chrome di Google viene aggiornato automaticamente non appena le correzioni diventano disponibili e non esiste una "versione precedente" del browser di cui preoccuparsi. Microsoft sta raccogliendo risorse per mantenere le versioni precedenti ed esporre gli utenti a rischi, ha affermato Barrett.
Altri bollettini da notare
L'altro bollettino degno di nota affronta una condizione di negazione del servizio che interessa il client e il server HTTP in Windows (MS13-039). Il problema riguarda solo le versioni più recenti di Windows, in particolare Windows Server 2012. Gli attacchi che sfruttano questa vulnerabilità potrebbero "potenzialmente essere molto distruttivi" poiché molti servizi remoti e integrazioni di Active Directory si basano su http.sys, ha affermato Barrett.
"Tutti i team di sicurezza IT dovrebbero saltare rapidamente su questo punto poiché è probabile che un exploit venga sviluppato molto rapidamente. Un exploit di successo potrebbe causare un DoS sui server interessati creando interruzioni temporanee", ha affermato Lamar Bailey, direttore della ricerca e sviluppo della sicurezza di Tripwire.
Microsoft ha risolto le vulnerabilità in vari prodotti Office, come i bug relativi all'esecuzione di codice in modalità remota in Microsoft Lync - precedentemente Communicator- (MS13-041) e 11 problemi di corruzione della memoria in Publisher (MS13-042) e bug in Microsoft Word ed Excel (MS13- 042). La vulnerabilità di Lync può essere sfruttata solo se due utenti in una sessione di Lync condividono contenuti dannosi. "Spero che nessuno dei tuoi utenti abbia conversazioni su Lync con qualcuno che sta cercando di attaccare i tuoi sistemi, nel qual caso dovresti essere a posto", ha detto Henry.
La vulnerabilità di spoofing e il bypass di autenticazione in.NET (MS13-040) non influiscono sulla configurazione predefinita. Un altro bollettino riguardava le vulnerabilità legate alla divulgazione di informazioni in Windows Essentials 2012 (MS13-045). Microsoft ha inoltre risolto tre problemi di elevazione locale dei privilegi nei driver in modalità kernel di Windows (MS13-046). Il più grave dei bug riguarda Windows XP e consente agli aggressori di eseguire processi in un contesto elevato.
"Assicurati di applicare patch a Internet Explorer (MS13-037 e MS13-038) il prima possibile, insieme a MS13-039 su server Web con connessione Internet, seguito dal resto delle patch", ha affermato Marc Maiffret, CTO di BeyondTrust.
