Analisi di rischio sui Bollettini di sicurezza Microsoft – novembre 2007


Tra colleghi abituati a lavorare (ben) oltre l’orario di lavoro, quando uno di noi esce (peraltro legittimamente …) alle 18.01 ci si diverte ad apostrofarlo con la frase: “… fai mezza giornata oggi ???”. Ecco, l’emissione di questo mese, con soli 2 bollettini, mi sta dando la simile impressione di “mezza giornata” … :-)… Ho incredibilmente finito l’analisi, le tabelle di rischio, la preparazione delle notifiche di sicurezza e il post, durante il normale orario di lavoro: se pensate che di solito il fatidico 2° martedì del mese riprendo questa attività dopo cena e lo termino all’una/due di notte… capirete la sensazione di leggerezza che sto provando!

Lo sguardo di insieme è presto fatto: entrambe le patch vanno messe subito.

  • MS07-061 su Windows: è la patch attesa della vulnerabilità critica nella gestion degli URI che interessa sistemi Windows XP/2003 in presenza di Internet Explorer 7, segnalata da un security advisory di cui vi ho già detto e già sfruttata per attacchi, anche se limitati (in particolare tramite PDF), i quali permetterebbero l’esecuzione di codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato.
  • MS07-062 su Windows DNS: la singola vulnerabilità importante interessa solo i sistemi operativi server Windows 2000 e Windows Server 2003. Anch’essa, alla luce dell’effetto della vulnerabilità che permetterebbe di alterare ad arte le risposte DNS e quindi di dirottare le richieste web su siti diversi da quelli legittimi (Spoofing), è sicuramente urgente per server DNS esposti su Internet, anche in considerazione dell’assenza di effetti in grado di mitigare il rischio e di metodologie di difesa alternative all’aggiornamento.

La consueta matrice di rischio delle vulnerabilità è disponibile di seguito:

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Ci tengo comunque a ribadire l’importante evidenza dell’assenza di Windows Vista tra i sistemi interessati dalle vulnerabilità di questo mese: per il 1° compleanno che si avvicina, questo è un ulteriore contributo per il miglioramento delle statistiche di confronto a cui il buon Jeff Jones ci ha abituato.

Comments (6)

  1. Blackstorm says:

    Ora scatta la domanda imbarazzante 🙂

    Come mai, dato che non pare essere colpa di IE la cattiva gestione degli URI, si è ritenuta necessaria una patch che la risolvesse?

  2. @ Blackstorm: ahiahiahi… vuol dire che non hai letto il mio post che ho linkato sul relativo advisory… (o io non mi sono spiegato in modo chiaro): lì ho segnalato i 2 problemi, e nel secondo indicavo la vulnerabilità del sistema operativo che è stata corretta da questa patch.

  3. Blackstorm says:

    E qui ti sbagli… l’avevo letto, ma non ricordavo il dettaglio 🙂

  4. Caro Blackstorm, spero davvero di continuare a meritarmi a lungo il tuo interesse e quello dei tanti lettori che mi seguono, grazie !

  5. Blackstorm says:

    Beh… a parte quel sorriso simpatico che hai in foto, ma credo che tu sia, fra le mie seppur limitate conoscenze che dell’ambiente (blog e esperti di sicurezza), forse la persona in assoluto più chiara, nei tuoi post… Intanto ti aspetto a Pisa…

    PS: so che forse non è lo spazio giusto, ma se vuoi linkarlo, sul mio blog ho messo il post del convegno… 🙂