La vulnerabilità più temuta dagli esperti di sicurezza è quella CVE-2006-6696 descritta nel bollettino MS07-021, che è anche l'unica ad interessare Windows Vista.

Tale debolezza, che come le altre corrette dal bollettino '021 è contenuta nel sottosistema runtime client/server (CSRSS) di Windows, può essere utilizzata per eseguire del codice da remoto. A renderla particolarmente pericolosa è il fatto che si tratta di una vulnerabilità zero-day e che può essere sfruttata via web. Sebbene il problema sia noto fin dallo scorso dicembre, inizialmente gli esperti di sicurezza ne hanno sottovalutato la portata: i primi exploit erano efficaci solo se l'aggressore aveva pieno accesso alla macchina vulnerabile.

Microsoft spiega che la pericolosità della falla è mitigata dal fatto che l'exploit richiede un certo grado di interattività da parte dell'utente. "L'utente malintenzionato dovrebbe convincere le vittime a visitare il sito Web, in genere inducendole a fare clic su un collegamento che le indirizzi al sito Web di origine dell'attacco", si legge nel bollettino. "Dopo avere fatto clic sul collegamento, alle vittime viene richiesto di eseguire diverse operazioni. L'attacco può avere luogo solo se le vittime eseguono tali operazioni".

La vulnerabilità interessa tutte le versioni di Windows attualmente supportate da Microsoft.

Tra le vulnerabilità più serie c'è poi quella contemplata nel bollettino MS07-020, contenuta nel controllo ActiveX Microsoft Agent di Windows 2000, XP e 2003. Alcuni esperti considerano questa debolezza altrettanto pericolosa di quella dei curosori animati, e ciò perché può essere sfruttata via web per eseguire del codice dannoso e installare malware da remoto. A mitigarne la gravità, ritenuta massima solo in Windows 2000 e le edizioni a 32 bit di XP, intervengono tuttavia le protezioni ActiveX incluse in Internet Explorer 7 e, in misura minore, quelle di IE6. Microsoft non è attualmente a conoscenza di alcun exploit che faccia leva su tale bug.

Il bollettino MS07-019 riguarda una vulnerabilità "critica" nel servizio Universal Plug and Play (UPnP) di Windows XP: quando questo servizio è attivo (e di defualt non lo è) un aggressore potrebbe riuscire ad eseguire del codice da remoto inviando al sistema vulnerabile delle richieste HTTP malformate.

Il bollettino MS07-018, l'ultimo con livello di gravità "critico", contiene due patch relative a Microsoft Content Management Server 2001 e 2002, un software le cui funzionalità si trovano oggi integrate in SharePoint Portal Server. Una falla può consentire ad un cracker di eseguire codice da remoto, mentre l'altra può consentirgli di intercettare informazioni personali e lanciare attacchi di spoofing.

Il quinto bollettino, l'MS07-022, risolve una vulnerabilità nel kernel di Windows che può consentire ad un utente locale di acquisire privilegi più elevati. Il problema è stato classificato da BigM come "importante" e interessa Windows 2000, XP e 2003.

Un riepilogo in italiano del bollettini di sicurezza di aprile si trova in questa pagina. Internet Storm Center ha invece pubblicato una tabella riassuntiva che distingue l'impatto delle falle in base al tipo di sistema, server o client.

Come si è detto, Microsoft ha aggiornato il bollettino MS07-017 pubblicato all'inizio della scorsa settimana, ed in particolare l'articolo correlato KB925902: la nuova versione della patch linkata nell'articolo corregge nuovi problemi di compatibilità tra il fix per i cursori animati e certe applicazioni di terze parti: Pannello di controllo Realtek HD Audio, ElsterFormular 2006/2007, TUGZip e CD-Tag. Da sottolineare che ElsterFormular è il software utilizzato da molte aziende tedesche per pagare le tasse via Internet.

Mentre Microsoft rilasciava i suoi nuovi bollettini di sicurezza, su alcuni forum sono apparsi gli exploit di nuove falle zero-day di Office. Secondo quanto riportato in questo post da McAfee Avert Labs, almeno una delle vulnerabilità è potenzialmente utilizzabile per eseguire del codice da remoto. Tipicamente i cracker riescono a sfruttare questo tipo di bug creando dei documenti che, una volta aperti, causano il crash dell'applicazione ed eseguono del codice dannoso con gli stessi privilegi dell'utente locale. News.com sostiene che Microsoft stia attualmente investigando sul problema e che, al momento, non sia a conoscenza di alcun attacco che faccia leva su queste debolezze.

Fonte: PuntoInformatico