Nel consueto aggiornamento di sicurezza mensile Microsoft ha rilasciato, per il mese di dicembre, sette diverse bollettini di sicurezza: cinque per il sistema operativo Windows e sue componenti, uno per Internet Explorer, uno per l'ambiente di sviluppo Visual Studio e uno, aggiunto all'ultimo momento, per Windows Media Player. Gli aggiornamenti sono, come al solito, scaricabili da Microsoft Update (solo per Internet Explorer).
I sette bollettini coprono rispettivamente 11 vulnerabilità e 5 di queste sono classificati con livello di pericolosità "critico". Ad essere coinvolti a vario titolo nell'aggiornamento sono Outlook Express (5.5 e 6), Internet Explorer (5.01 e 6), alcune versioni di Visual Studio 2005 e tutti i Windows ad esclusione di Vista. Nella lista dei problemi corretti non compaiono, come del resto noto, i due recenti e gravi problemi riscontrati in Word e Works.
Con questi ultimi bollettini si chiude, vulnerabilità di Word permettendo, a 77 il conto dei problemi di sicurezza rilevati da Microsoft nel 2006. Un nuovo record che supera di cinque unità il precedente stabilito nell'anno 2002 quando i bollettini distribuiti arrivarono a quota 72. Le vulnerabilità corrette in questi bollettini sono in totale oltre 150.
Mese 2006 | Bollettini | Vulnerabilità |
---|---|---|
Gennaio | 3 | 3 |
Febbraio | 7 | 7 |
Marzo | 2 | 7 |
Aprile | 5 | 14 |
Maggio | 3 | 5 |
Giugno | 12 | 21 |
Luglio | 7 | 19 |
Agosto | 12 | 25 |
Settembre | 4 | 4 |
Ottobre | 10 | 26 |
Novembre | 6 | 9 |
Dicembre | 7 | 11 |
Totale | 78 | 151 |
La vulnerabilità che riguarda Visual Studio, descritta dal bollettino MS06-073, è stata scoperta lo scorso ottobre ed è stata ampiamente divulgata su siti di sicurezza. Per la vulnerabilità esiste anche un proof of concept, un esempio di utilizzo, che secondo Microsoft non ha comunque creato problemi rilevanti. Il problema riguarda il controllo ActiveX WMI Object Broker incluso nella libreria WmiScriptUtils.dll distribuita con Visual Studio. Questo controllo viene attivato all'interno di Internet Explorer. È dunque possibile per un aggressore sfruttare l'errore semplicemente facendo visualizzare ad un utente del browser, che abbia comunque installato anche Visual Studio 2005, un sito Web appositamente predisposto per le azioni nocive. Su Internet Explorer 7 la vulnerabilità è attivabile solo se l'utente conferma l'esecuzione dell'ActiveX sospetto.
Quattro, di cui due critiche, le correzioni che subisce Internet Explorer con le patch pubblicate nel bollettino MS06-072. Ad essere coinvolto è il motore di scripting del browser che in due distinte situazioni, di cui una legata all'interpretazione di codice DHTML, può essere condotto ad un buffer overflow e dunque all'esecuzione di codice nocivo semplicemente visualizzando una pagina Web creata da un aggressore. Gli errori, che sono già mitigati su Windows Server 2003, non coinvolgono la recente versione 7 del browser di Redmond.
Le vulnerabilità incluse nel bollettino MS06-078, corrette da Microsoft solo cinque giorni dopo l'apparire in rete di un exploit in grado di sfruttarle, riguardano un errore di gestione dei file WMF e ASX, file utilizzati dal Media Player di Windows per la gestione di contenti multimediali. Anche in questo caso l'attacco può essere condotto semplicemente facendo aprire ad un utente file di questo tipo preparati per sfruttare l'attacco.
Outlook Express è reso sicuro dal bollettino MS06-076. L'errore in cui poteva incorrere il programma di posta elettronica, e che avrebbe potuto causare l'installazione di software all'interno del sistema operativo, è relativo alla gestione di file Windows Address Book (WAB) demandata a un componente già corretto nei bollettini di aprile e agosto scorsi. È un errore classificato come "importante" e "importanti" sono anche gli errori descritti nei bollettini MS06-074, MS06-075 e MS06-077 relativi a servizi di rete, alla gestione dei file di metadati di Windows e a un componente, il Remote Installation Service (RIS), presente solo in Windows 2000 e non installato di default.
È stato aggiornato anche lo strumento di rimozione malware, il software che esegue un controllo automatico dei più diffusi virus e malware per Windows e che viene automaticamente installato ed eseguito all'atto degli aggiornamenti. In questa nuova versione Microsoft ha aggiunto il riconoscimento del malware Beenut, un trojan scoperto nel settembre 2006 che è in grado di scaricare e installare software nocivo sul computer infetto dell'utente.
Secondo il servizio Zero-Day Tracker di eEye Research, dopo questo aggiornamento di sicurezza sono 6 le vulnerabilità in software Microsoft non ancora corrette con una patch e per le quali sono stati già distribuiti online codici in grado di sfruttarle. Di queste ben 3 sono considerate ad alto rischio, tra cui quella per Microsoft Word.