Quattro bollettini di sicurezza per Microsoft

SicurezzaSoluzioni per la sicurezza

Le Patch di luglio risolvono nove vulnerabilità. Intanto Microsoft deve fronteggiare un nuovo attacco ActiveX

Nel Patch day di luglio, Microsoft ha rilasciato quattro bollettini di sicurezza relativi a nove vulnerabilità. Nessuna patch di luglio è per falle critiche, ma al massimo importanti: tuttavia alcuni esperti di sicurezza, intervistati da InformationWeek, temono che Microsoft stia sottovalutando alcuni pericoli.

Il bollettino MS08-040 riguarda una falla in Sql server, il bollettino MS08-038 si rivolge a una vulnerabilità in Windows Explorer, quello MS08-037 è per una vulnerabilità nel Dns a rischio spoofing e, infine, il MS08-039 è indirizzato a una falla in Outlook Web Access per Exchange Server.

L’assenza di falle critiche ha però destato sospetti: non è un Patch day leggero, e non va sottovalutato. La falla Dns è seria e affligge non solo Windows, ma anche Linux, Unix e Mac Os X: l’advisory di Debian è qui .

Inoltre è polemica su due falle rimaste senza patch: Qualys afferma che sono ancora senza patch la falla CVE-2008-1436 (in Windows privilege elevation) e la CVE-2008-2463 (Microsoft Office Access Snapshot Viewer ActiveX ). Microsoft ha già rilasciato un advisory sulla vulnerabilità di Snapshot Viewer: si tratta di attacchi mirati ad un bug di un controllo ActiveX di Snapshot Viewer, un plug-in del web browser per Microsoft Office Access 2000, 2002 e 2003. Il controllo vulnerabile non è presente in Office Access 2007.

Leggi anche The Inquirer: Nuovo attacco contro ActiveX

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore