In occasione del patch day di giugno 2012, come annunciato nel bollettino di sicurezza anticipato, Microsoft ha rilasciato 7 aggiornamenti di sicurezza che vanno a correggere 28 vulnerabilità. Tra i sette update rilasciati, tre sono etichettatati come "critici" mentre i restanti quattro portano l’etichetta "importanti". L'azienda di Redmond ha introdotto anche un nuovo sistema che permette automaticamente di contrassegnare i certificati come non validi. Il malware Flame sfrutta proprio un falso certificato per entrare nei PC degli utenti.
"Ci sono un certo numero di noti certificati non attendibili e compromesse le chiavi che sono state rilasciati dalle autorità principali standard di certificazione secondo fonti attendibili. Per aiutare i clienti a evitare di interagire con questi certificati non attendibili o le chiavi compromesse, un programma di aggiornamento automatico dei certificati revocati è ora disponibile per Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 e Windows Server 2008 R2 computer", annuncia Kurt L Hudson. In passato, gli utenti avrebbero dovuto apportare modifiche all'Archivio certificati non attendibili, avviando gli aggiornamenti tramite Windows Update o utilizzando un metodo manuale.
Questa nuova funzione offre gli aggiornamenti dinamici per la revoca delle informazioni in modo che il client Windows può essere aggiornato con i certificati non attendibili al massimo entro un giorno delle informazioni che vengono pubblicate (senza intervento da parte dell'utente). Questo nuovo sistema è documentato nel Windows PKI Blog. Tornando agli aggiornamenti di giugno, di seguito vengono riassunti i bollettini sulla sicurezza di questo mese in ordine di gravità.
1. MS12-036 - Una vulnerabilità in Remote Desktop può consentire l'esecuzione di codice in modalità remota (2685939). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente nel Remote Desktop Protocol (CVE-2012-0173). La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia una sequenza di pacchetti RDP appositamente predisposti a un sistema interessato. Per impostazione predefinita, il Remote Desktop Protocol (RDP) non è abilitato su qualsiasi sistema operativo Windows. I sistemi che non hanno permesso RDP non sono a rischio. L'aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui Remote Desktop Protocol elabora i pacchetti nella memoria.
2. MS12-037 - Aggiornamento cumulativo della protezione per Internet Explorer (2699988). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e dodici segnalate privatamente in Internet Explorer. Le vulnerabilità più gravi potrebbero consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare una di queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello critico per IE dalla 6 alla 9 sui client Windows, mentre è considerato di livello moderato sui server Windows.
3. MS12-038 - Una vulnerabilità in. NET Framework può consentire l'esecuzione di codice in modalità remota (2706726). Questo aggiornamento critico per la protezione risolve una vulnerabilità segnalata privatamente a Microsoft .NET Framework (CVE-2012-1855). La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota su un sistema client se un utente visualizza una pagina web appositamente predisposta utilizzando un browser web in grado di eseguire applicazioni browser XAML (XBAP). Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. La vulnerabilità potrebbe essere utilizzata anche da Windows .NET per bypassare le restrizioni della protezione dall'accesso di codice (CAS).
4. MS12-039 - Alcune vulnerabilità in Lync può consentire l'esecuzione di codice in modalità remota (2707956). Questo aggiornamento importante per la protezione risolve una vulnerabilità divulgata pubblicamente e tre vulnerabilità segnalate privatamente a Microsoft Lync (CVE-2011-3402, CVE-2012-0159, CVE-2012-1849, CVE-2012-1858). Le vulnerabilità più gravi potrebbero consentire l'esecuzione di codice in modalità remota se un utente visualizza il contenuto condiviso che contiene caratteri TrueType appositamente predisposti. Questo aggiornamento per la protezione è considerato di livello importante per Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft Lync 2010 Attendant (32-bit) e Microsoft Lync 2010 Attendant (64-bit).
5. MS12-040 - Una vulnerabilità in Microsoft Dynamics AX Enterprise Portal può consentire l'acquisizione di privilegi più elevati (2709100). Questo aggiornamento importante per la protezione risolve una vulnerabilità segnalata privatamente a Microsoft Dynamics AX Enterprise Portal (CVE-2012-1857). La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente fa clic su un URL appositamente predisposto o visiti un sito web appositamente predisposto. In uno scenario di attacco e-mail, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando un messaggio di posta elettronica che contiene l'URL appositamente predisposto per l'utente del sito di destinazione Microsoft Dynamics AX Enterprise Portal e convincere l'utente a fare clic sull'URL appositamente predisposto.
6. MS12-041 - Alcune vulnerabilità in Windows driver in modalità kernel possono consentire l'acquisizione di privilegi più elevati (2709162). Questo aggiornamento importante di sicurezza risolve cinque vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità possono consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede a un sistema ed esegue un'applicazione appositamente predisposta. L'aggiornamento corregge il modo in cui i driver in modalità kernel di Windows convalidano l'input inviato in modalità utente e gestiscono il caricamento di caratteri TrueType introducendo una convalida aggiuntiva in fase di esecuzione al meccanismo di creazione dei thread.
7. MS12-042 - Alcune vulnerabilità del kernel di Windows possono consentire di privilegi più elevati (2711167). Questo aggiornamento importante per la protezione risolve una vulnerabilità segnalata privatamente e una vulnerabilità divulgata pubblicamente in Microsoft Windows (CVE-2012-0217, CVE-2012-1515). Le vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede a un sistema interessato ed esegue un'applicazione appositamente predisposta che sfrutta la vulnerabilità. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto o da utenti anonimi.
Microsoft rilascerà ad agosto un aggiornamento relativo a come Windows gestisce certificati che hanno chiavi RSA minori di 1024 bit. "Quando questo aggiornamento verrà rilasciato, tutti i certificati con questa caratteristica verranno trattati come non validi, anche se non sono scaduti e sono firmati da una Certification Authority riconosciuta", scrive Gerardo Di Giacomo di Microsoft Technet.
A corollario degli aggiornamenti, Microsoft ha rilasciato come di consueto una nuova versione del suo strumento di rimozione malware giunto alla versione 4,9 (KB890830) per Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Dopo il download, lo strumento di rimozione malware Microsoft verifica la presenza di eventuale malware nel computer in uso. Il prossimo appuntamento con il patch day di Microsoft è previsto per martedì 10 luglio 2012.
Nessun commento:
Posta un commento