Alcune fonti in Rete segnalano una vulnerabilità di tipo "zero-day" che interessa il formato file Shell Link Binary File Format, noto come shortcut (collegamento), che usa l'estensione LNK gestita dai sistemi Windows per creare collegamenti a file e programmi.

Come annunciato in precedenza dal CERT-SPC, nella tarda serata di ieri sono stati rilasciati da Oracle gli aggiornamenti di sicurezza, nell'ambito del programma semestrale di correzione del software, per correggere 59 vulnerabilità che interessano i prodotti di seguito indicati:

• 6 for Oracle Database Server

• 2 for TimesTen In-Memory Database

• 5 for Oracle Secure Backup

• 7 for Oracle Fusion Middleware

• 1 for Oracle Enterprise Manager

• 7 for Oracle E-Business Suite

• 2 for Oracle Supply Chain Products Suite

• 8 for Oracle PeopleSoft and JDEdwards Suite

• 21 for Oracle Sun Products Suite

In particolare le versioni dei prodotti interessati dagli aggiornamenti di sicurezza sono: Oracle Database 11g Release 1, version 11.1.0.7 Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 Oracle Database 10g, version 10.1.0.5 Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV Oracle TimesTen In-Memory Database, versions 7.0.5.1.0, 7.0.5.2.0, 7.0.5.3.0, 7.0.5.4.0 Oracle Secure Backup version 10.3.0.1 Oracle Application Server, 10gR2, version 10.1.2.3.0 Oracle Identity Management 10g, version 10.1.4.0.1 Oracle WebLogic Server 11gR1 releases (10.3.1, 10.3.2 and 10.3.3) Oracle WebLogic Server 10gR3 release (10.3.0) Oracle WebLogic Server 10.0 through MP2 Oracle WebLogic Server 9.0, 9.1, 9.2 through MP3 Oracle WebLogic Server 8.1 through SP6 Oracle WebLogic Server 7.0 through SP7 Oracle JRockit R28.0.0 and earlier (JDK/JRE 5 and 6) Oracle JRockit R27.6.6 and earlier (JDK/JRE 1.4.2, 5 and 6) Oracle Business Process Management, versions 5.7.3, 6.0.5, 10.3.1, 10.3.2 Oracle Enterprise Manager Grid Control 10g Release 5, version 10.2.0.5 Oracle Enterprise Manager Grid Control 10g Release 1, version 10.1.0.6 Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 and 12.1.2 Oracle E-Business Suite Release 11i, versions 11.5.10, 11.5.10.2 Oracle Transportation Manager, Versions: 5.5.05.07, 5.5.06.00, 6.0.03 PeopleSoft Enterprise Campus Solutions, version 9.0 PeopleSoft Enterprise CRM, versions 9.0 and 9.1 PeopleSoft Enterprise FSCM, versions 8.9, 9.0 and 9.1 PeopleSoft Enterprise HCM, versions 8.9, 9.0 and 9.1 PeopleSoft Enterprise PeopleTools, versions 8.49 and 8.50 Oracle Sun Product Suite

L'impatto stimato per le vulnerabilità indicate è variabile e dipende molto dalla configurazione dei prodotti. Le potenziali conseguenze, almeno quelle più gravi, contemplano l'esecuzione di codice e comandi da remoto da parte di attaccanti non autenticati, compromissione della riservatezza delle informazioni oltre a creare condizioni di denial-of-service.

I dettagli dei numerosi aggiornamenti con le indicazioni per accedere al software correttivo sono disponibili presso la seguente URL: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html

Come precedentemente annunciato dal CERT-SPC, Microsoft ha reso disponibile nella tarda serata di ieri 4 bollettini di sicurezza, di cui 3 classificati come livello di pericolosità critico ed uno come importante, rilasciati nell'ambito del programma mensile di aggiornamento del software.

Alcune fonti segnalano in Rete la disponibilità di un exploit, di tipo Proof-of-Concept (PoF), in grado di sfruttare, attraverso un attacco mirato al lettore multimediale Real Player che funge da vettore, la vulnerabilità di tipo zero-day (CVE-2010-1885), già sengalta dal CERT-SPC, che interessa "Windows Help and Support Center". Questa vulnerabilità sarà corretta nel rilascio mensile del software correttivo da parte di Microsoft previsto il prossimo martedì 13 luglio, il 14 in Italia, come precedentemente indicato dal CERT-SPC.

Ulteriori dettagli sono disponibili presso le seguenti URL:

http://www.microsoft.com/technet/security/advisory/2219475.mspx
http://www.microsoft.com/technet/security/bulletin/ms10-jul.mspx