Nel consueto appuntamento mensile Microsoft rilascia due aggiornamenti di sicurezza
Come per ogni secondo martedì del mese, arriva il “patch day”
Microsoft. Questa volta sono solamente due gli aggiornamenti di sicurezza rilasciati
dal colosso di Redmond.
Il primo, indicato come “critico“, è l’aggiornamento
cumulativo per Internet Explorer (MS05-054). La patch deve
essere applicata su tutti i sistemi (Windows 98, Windows 98 SE, Windows ME,
Windows 2000, Windows XP e Windows Server 2003) e consente di risolvere numerose
vulnerabilità di sicurezza del browser Microsoft.
Tra gli ultimi problemi di sicurezza, l’applicazione della patch tappa una
pericolosissima falla il cui livello di criticità era stato da Secunia
immediatamente portato “a fondo scala”.
Il problema si determina nel momento in cui venga semplicemente inserita, in
una pagina html, la funzione Javascript “window()” all’interno
dell’evento body onload.
Utilizzando del codice Javascript opportunamente concepito per sfruttare la
falla di sicurezza, è possibile addirittura eseguire applicazioni maligne
sul computer “vittima”: è sufficiente indurre l’utente a visitare
una pagina web contenente il codice pericoloso.
Qualche settimana fa era stato reso noto in Rete anche il codice “proof-of-concept”
che può essere facilmente ripreso da parte di malintenzionati per far
danni.
Tra le vulnerabilità corrette dalla patch cumulativa di questo mese
per Internet Explorer ve ne sono altre quattro di notevole importanza: tutte
possono facilitare, da parte di aggressori remoti, l’esecuzione di codice nocivo
sul personal computer dell’utente o la sottrazione di dati personali (vedere
anche il bollettino di Secunia).
La seconda patch rilasciata da Microsoft (MS05-055)
è classificata come “importante” e riguarda solo ed
esclusivamente i sistemi Windows 2000: la mancanza di questo aggiornamento
potrebbe permettere ad un utente che dispone delle credenziali per effettuare
il login su una macchina Windows 2000, di acquisire un maggior numero di privilegi
guadagnando così gli stessi diritti propri di un account amministrativo.