vulnerabilita_48pxIn questa categoria sono visualizzati i bollettini di sicurezza pubblicati dal CERT-SPC relativi alle vulnerabilità informatiche che interessano la sicurezza delle tecnologie in uso alle pubbliche amministrazioni connesse al Sistema Pubblico di Connettività (SPC). Soltanto le vulnerabilità valutate critiche ed importanti, secondo lo metrica CVSS con valore superirore a 7,5,  sono preventivamente segnalate dal servizio di "early warning"; per le altre vulnerabilità il CERT-SPC eroga il servizio informatico alle Amministrazioni che ne fanno espressamente richiesta secondo la procedura condivisa.

vulnerabilità "zero-day"

Vulnerabilità rilevate

Aggiornamenti di sicurezza Microsoft ed Adobe
(0 voti, media 0 su 5)
Lunedì 09 Agosto 2010 06:32

Microsoft ha annunciato che nell'ambito del programma mensile di rilascio del software correttivo il prossimo martedì, mercoledì in Italia, pubblicherà 14 bollettini di sicurezza per correggere 34 vulnerabilità. Secondo la metrica di valutazione del grado di pericolosità delle vulnerabilità corrette risulta che 8 bollettini sono classificati con il massimo grado di rischio, "Critico" ed interessano il sistema operativo Windows, Internet Explorer e Microsoft Office.

Considerato l'elevato numero di aggiornamenti di sicurezza, molti dei quali necessitano del riavvio dei sistemi, e per il fatto che anche Adobe pubblicherà un aggiornamento di tipo aout-of-band si consiglia di valutare le priorità nell'installazione del software correttivo anche in considerazione del particolare periodo estivo dove le risorse a disposizione potrebbero essere limitate.

Ulteriori dettagli ed aggiornamenti sono disponibili presso il sito: http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

Alcune fonti informano che la prossima settimana, quella del 16 agosto, Adobe pubblicherà - come sopra accennato - un aggiornamento di sicurezza straordinario (out-of-band) che interessa Adobe Reader e Acrobat. L'aggiornamento di sicurezza coregge molteplici vulnerabilità tra cui quella (CVE-2010-2862) illustrata nel corso della conferenza "Black Hat" considerata critica secondo Adobe.

La vulnerabilità, di tipo integer overflow, interessa la libreria CoolTpe.dll quando gestisce valori anomali nel campo "maxCompositePoints" presente nella tavella "MAxP" (Maximum Profile) relativa ai caratteri di tipo TrueType font. LA vulnerabilità interessa le versioni 8.2.3 e 9.3.3 di Adobe Reader e la 9.3.3. di Acrobat.

Tale vulnerabilità può essere sfruttata da un attaccante remoto per eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione inducendo un utente ad aprire un file PDF appositamente predisposto che contiene valori anomali relativi al tipo di carattere visualizzato.

Ulteriori informazioni sono disponibili presso le seguenti URL: http://www.adobe.com/support/security/bulletins/apsb10-17.html http://blogs.adobe.com/psirt/2010/08/pre-notification-out-of-band-security-updates-for-adobe-reader-and-acrobat.html http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2862

AGGIORNAMENTO

Adobe ha rilasciato l'aggiornamento di sicurezza cumulativo per correggere la vulnerabilità segnalata. Ulteriori dettagli sono disponibili nella sezione vulnerabilità del portale del CERT-SPC

Commenti

E' necessario autenticarsi per poter inviare commenti
< Prec.   Succ. >
Ultimo aggiornamento Lunedì 23 Agosto 2010 01:48