Puntuale come ogni mese, Microsoft ha rilasciato il primo pacchetto di aggiornamenti dell'anno dedicato a tutti i suoi sistemi operativi e software supportati. Microsoft, in occasione del suo Patch Day di Gennaio 2014, ha rilasciato 4 bollettini di sicurezza che fissano 6 vulnerabilità in Windows, Office e Dynamics AX. Tutti e quattro i bollettini sono classificati come "importanti". Tra le correzioni vi è un exploit in Windows XP e Windows Server 2003 che permette una "elevazione dei privilegi". L'attacco zero-day è stato utilizzato in attacchi basati su PDF, utilizzando una vulnerabilità nelle versioni senza patch di Adobe Reader. Di seguito i bollettini sulla sicurezza di gennaio in ordine di gravità.
• MS14-001 - Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office (2916605). Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un file appositamente predisposto viene aperto in una versione interessata di Microsoft Word o di altro software Microsoft Office interessato. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Questo aggiornamento per la protezione è considerato di livello importante per le edizioni supportate di Microsoft Word 2003, 2007, 2010, 2013, 2013 RT, e per servizi interessati di Office e le applicazioni Web su edizioni supportate di SharePoint Server 2010, SharePoint Server 2013 e Microsoft Web Apps Server 2013, Word Viewer e Microsoft Office Compatibility Pack. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui Microsoft Office analizza file appositamente predisposti. Vulnerabilità multiple: CVE-2014-0258, CVE-2014-0259, CVE-2014-0260.
• MS14-002 - Una vulnerabilità nel kernel di Windows potrebbe consentire di privilegi più elevati (2914368). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft Windows. La vulnerabilità CVE-2014-0265 può consentire l'elevazione dei privilegi se un utente malintenzionato accede a un sistema ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente per sfruttare questa vulnerabilità.
• MS14-003 - Una vulnerabilità nel driver modalità kernel di Windows può consentire l'acquisizione di privilegi più elevati (2913602). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità CVE-2014-0262 può consentire l'acquisizione di privilegi più elevati se un utenteaccede a un sistema ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente per sfruttare questa vulnerabilità.
• MS14-004- Una vulnerabilità in Microsoft Dynamics AX può consentire attacchi di tipo Denial of Service (2880826). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Dynamics AX. La vulnerabilità può consentire un attacco Denial of Service se un utente malintenzionato autenticato invia dati appositamente predisposti a un target Microsoft Dynamics AX Application Object Server (AOS) instance. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe causare il target AOS instance per rispondere alle richieste dei client.
Nel mese di febbraio, l'utilizzo dell'algoritmo di hash MD5 nei certificati sarà limitato, come ha spiegato Microsoft nel Security Advisory 2862973. La restrizione è limitata ai certificati rilasciati nelle directory principali nel programma Microsoft Root Certificate. Questo programma comunica al dispositivo che programmi, applicazioni e siti web sono attendibili da Microsoft. Il supporto per Windows XP, il sistema operativo più longevo di Microsoft, giungerà al termine nel mese di aprile. Microsoft ha inoltre annunciato che nel mese di Giugno ci saranno modifiche alla funzione di verifica di Windows Authenticode.
Nel mese di febbraio, l'utilizzo dell'algoritmo di hash MD5 nei certificati sarà limitato, come ha spiegato Microsoft nel Security Advisory 2862973. La restrizione è limitata ai certificati rilasciati nelle directory principali nel programma Microsoft Root Certificate. Questo programma comunica al dispositivo che programmi, applicazioni e siti web sono attendibili da Microsoft. Il supporto per Windows XP, il sistema operativo più longevo di Microsoft, giungerà al termine nel mese di aprile. Microsoft ha inoltre annunciato che nel mese di Giugno ci saranno modifiche alla funzione di verifica di Windows Authenticode.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.8, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Questo strumento consente di rimuovere alcuni malware dei sistemi Windows, in particolare quei sistemi senza programmi antivirus installati. Il prossimo appuntamento con il patch day è fissato per martedì 11 febbraio 2014.
Nessun commento:
Posta un commento