vulnerabilita_48pxIn questa categoria sono visualizzati i bollettini di sicurezza pubblicati dal CERT-SPC relativi alle vulnerabilità informatiche che interessano la sicurezza delle tecnologie in uso alle pubbliche amministrazioni connesse al Sistema Pubblico di Connettività (SPC). Soltanto le vulnerabilità valutate critiche ed importanti, secondo lo metrica CVSS con valore superirore a 7,5,  sono preventivamente segnalate dal servizio di "early warning"; per le altre vulnerabilità il CERT-SPC eroga il servizio informatico alle Amministrazioni che ne fanno espressamente richiesta secondo la procedura condivisa.

vulnerabilità "zero-day"

Vulnerabilità rilevate

Microsoft: aggiornamenti per il mese di Dicembre 09
(0 voti, media 0 su 5)
Mercoledì 09 Dicembre 2009 18:18
Nell'ambito del programma mensile di rilascio degli aggiornamenti di sicurezza, Microsoft ha reso disponibili i seguenti bollettini di sicurezza, (3 critici e 3 importanti) relativi a prodotti inerenti Microsoft Windows Microsoft Office:

MS09-071 (Critical): Vulnerabilità in Internet Authentication Service (IAS); questo aggiornamento risolve due vulnerabilità in Windows, che - se sfruttate da un attaccante - consentono di eseguire codice arbitrario consentendo di acquisire il controllo della sistema vulnerabile. L'attacco si realizza nel corso del processo di autenticazione tra un server IAS (autenticatore PEAP)ed un client PEAP (es. un computer senza fili), durante lo scambio dei messaggi necessari per la negoziazione dell'autenticazione.
Unicamente i server IAS che utilizzano il protocollo PEAP con MS-CHAP v2 presentano questa vulnerabilità.
http://www.microsoft.com/technet/security/bulletin/MS09-071.mspx

MS09-072 (Critical): questo aggiornamento di sicurezza risolve cinque vulnerabilità in Internet Explorer, che possono consentire ad un attaccante di eseguire codice nel contesto di un utente connesso ad un sito appositamente realizzato per sfruttare la vulnerabilità del browser. L'esposizione al rischio per questa vulnerabilità è maggiore per gli utenti che dispongono di privilegi elevati sul sistema.
http://www.microsoft.com/technet/security/bulletin/ms09-072.mspx

MS09-074 (Critical): Vulnerabilità in Microsoft Office Project: con questo aggiornamento viene sanata una vulnerabilità in Microsoft Office Project, che può consentire l'esecuzione di codice sul sistema di un utente che apre un file Project appositamente creato. Un attaccante, sfruttando questa vulnerabilità potrebbe acquisire il pieno controllo del sistema non aggiornato.
http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx

MS09-069 (Important): Vulnerabilità nel servizio Local Security Authority Subsystem. Questo aggiornamento risolve una vulnerabilità che si presenta nelle comunicazioni IPsec, se un attaccante nel corso della comunicazione invia un messaggio ISAKMP per Local Security Authority Subsystem Service (LSASS), creato ad arte per sfuttarne la vulnerabilità e causare condizioni di denial of service.
http://www.microsoft.com/technet/security/Bulletin/MS09-069.mspx

MS09-070 (Important): Vulnerabilità in Active Directory Federation Services: con questo aggiornamento si risolvono due vulnerabilità di Windows, sfruttabili inviando richieste HTTP anomale verso un ADFS-enabled Web server. Essendo necessaria l'autenticazione dell'utente-attaccante la possibilità di ottenere l'esecuzione di codice sfruttando la vulnerabilità appare ridotta.
http://www.microsoft.com/technet/security/bulletin/MS09-070.mspx

MS09-073 (Important): Vulnerabilità in WordPad e Office Text Converters. Con questo aggiornamento di sicurezza si risolvono due vulnerabilità sfruttabili per consentire l'esecuzione di codice in caso di apertura mediante WordPad di file di tipo Word 97, consentendo di acquisire privilegi di utente sul sistema vulnerabil.
http://www.microsoft.com/technet/security/bulletin/MS09-073.mspx

Commenti

E' necessario autenticarsi per poter inviare commenti
Tags:
< Prec.   Succ. >
Ultimo aggiornamento Giovedì 10 Dicembre 2009 12:51