Microsoft ha rilasciato 8 nuovi bollettini di sicurezza nell'ambito del suo programma di aggiornamento di protezione realizzato su base mensile, per correggere complessivamente ben 23 vulnerabilità che affliggono i suoi software Microsoft Windows, Internet Explorer, Microsoft Office e Microsoft Forefront Edge Security.
Dei 8 bollettini rilasciati oggi, 5 sono classificati come "critici", 2 come "importanti" e 1 come "moderato". Un problema critico rappresenta una vulnerabilità che, se sfruttata, potrebbe portare alla propagazione di un worm Internet senza azioni da parte dell'utente.
Il bollettino critico [MS09-009] risolve 2 vulnerabilità di esecuzione di codice in modalità remota (CVE-2009-0100 EI=2 e CVE-2009-0238 EI=1) isolate in tutte le versioni supportate di Microsoft Office (Excel 2000 SP3, XP SP3, 2003 SP3, e 2007 SP1) oltre che Office 2004 e 2008 per Mac, Office Excel Viewer e Compatibility Pack 2007 SP1. Il bollettino critico [MS09-010] corregge 4 vulnerabilità RCE (CVE-2009-0087 EI=2, CVE-2008-4841 EI=1, CVE-2009-0088 EI=1 e CVE-2009-0235 EI=2) che affliggono WordPad e Office Text Converters nel sistema operativo Windows in tutte le edizioni supportate esclusi Vista e Server 2008, in Microsoft Office Word 2000 SP3, Microsoft Office Word 2002 SP3 e Microsoft Office Converter Pack.
Il bollettino critico [MS09-011] offre soluzione per una vulnerabilità RCE (CVE-2009-0084 EI=2) identificata in Microsoft DirectShow nelle librerie DirectX ma solo nelle versioni 8.1 e 9.0; il problema non riguarda quindi i sistemi Vista e Server 2008. Il bollettino critico [MS09-013] risolve 3 vulnerabilità, 2 RCE (CVE-2009-0086 EI=1 e CVE-2009-0550 EI=1) e 1 di spoofing (CVE-2009-0089 EI=1), che affliggono Windows HTTP Services nel sistema operativo Windows in tutte le edizioni supportate inclusi, questa volta, Vista e Server 2008.
Il bollettino critico [MS09-014] offre un aggiornamento di protezione cumulativo per Internet Explorer a correzione di ben 6 vulnerabilità RCE (CVE-2008-2540 EI=3, CVE-2009-0550 EI=1, CVE-2009-0551 EI=2, CVE-2009-0552 EI=3, CVE-2009-0553 EI=3 e CVE-2009-0554 EI=1) che affliggono il browser in tutte le versioni supportate esclusa la più recente release IE8.
Il due bollettini importanti: [MS09-012] che corregge 4 vulnerabilità di elevazione di privilegi (CVE-2009-0078 EI=1, CVE-2009-0078 EI=1, CVE-2009-0079 EI=1 e CVE-2009-0080 EI=1) isolate in tutti i sistemi Windows supportati; e [MS09-016] offre soluzione per 2 vulnerabilità, 1 di denial of service ed 1 di cross-site scripting (CVE-2009-0077 EI=3 e CVE-2009-0237 EI=3), identificate in Microsoft Forefront Edge Security (Forefront Threat Management Gateway, Internet Security and Acceleration Server 2004 e 2006). Il bollettino moderato [MS09-015] risolve infine una vulnerabilità di elevazione di privilegi (CVE-2008-2540 EI=2) che affligge tutti sistemi Windows supportati tranne Windows 2000 SP4.
C = Critica I = Importante M = Moderata
[RCE] = Remote Code Execution [SP] = Denial of Service [DoS] = Elevation of Privilege
XPSP3[x]/ViSP1[x] = XP SP3 /Vista SP1 (con "x" = importanza relativa)
- MS09-009 Vulnerabilità in Microsoft Office Excel (968557) [RCE] C - MS09-010 Vulnerabilità in WordPad e Office Text Converters [RCE] (960477) CXPSP3[I] - MS09-011 Vulnerabilità in Microsoft DirectShow [RCE] (961373) CXPSP3[C] - MS09-012 Vulnerabilità in Windows [EoP] (959454) IXPSP3[I]/ViSP1[I] - MS09-013 Vulnerabilità in Windows HTTP Services [RCE] (960803) CXPSP3[C]/ViSP1[C] - MS09-014 Aggiornamento per Internet Explorer [RCE] (963027) CXPSP3[C]/ViSP1[C] - MS09-015 Vulnerabilità in SearchPath [EoP] (959426) MXPSP3[M]/ViSP1[M] - MS09-016 Vulnerabilità in ISA Server e Forefront Threat Management [DoS] (961759) I
Maggiori dettagli su tutti I bollettini rilasciati oggi sono stati pubblicati su MSRC Blog ed una analisi approfondita di alcune delle problematiche di sicurezza corrette è disponibile su Security Research & Defense Blog.Microsoft ha aggiornato anche lo strumento di rimozione malware per Windows v2.9 che include ora rilevamento per Win32/Waledac.
non ci sono commenti
