Come in precedenza annunciato dal CERT-SPC, Microsoft ha revisionato i precedenti bollettini di sicurezza per il mese di Marzo rilasciando un bollettino straordinario (out of band) -  ovvero esterno al ciclo di rilascio pianificato degli aggiornamenti di sicurezza - per correggere oltre alla vulnerabilità di tipo "zero day" precedentemente segnalata (CVE-2010-0806), anche altre 9 vulnerabilità che interessano le seguenti versioni di Microsoft Internet Explorer:

•    Internet Explorer 5.01;
•    Internet Explorer 6 Service Pack 1;
•    Internet Explorer 7
•    Internet Explorer 8

Le vulnerabilità segnalate interessano il processo di allocazione della memoria che può essere alterato da un'attaccante remoto causando un buffer overflow che può consentire l'esecuzione di codice arbitrario e creare condizioni di denial of service. La vulnerabilità CVE-2010-0494, invece, consente un attacco di tipo cross-domain mentre quella identificata dal CVE-2010-0488 consente la compromissione della riservatezza dei dati.
Di seguito l’elenco delle vulnerabilità corrette:

1.    Uninitialized Memory Corruption Vulnerability - CVE-2010-0267
2.    Post Encoding Information Disclosure Vulnerability - CVE-2010-0488
3.    Race Condition Memory Corruption Vulnerability - CVE-2010-0489
4.    Uninitialized Memory Corruption Vulnerability - CVE-2010-0490
5.    HTML Object Memory Corruption Vulnerability - CVE-2010-0491
6.    HTML Object Memory Corruption Vulnerability - CVE-2010-0492
7.    HTML Element Cross-Domain Vulnerability - CVE-2010-0494
8.    Memory Corruption Vulnerability - CVE-2010-0805
9.    Uninitialized Memory Corruption Vulnerability - CVE-2010-0806
10.    HTML Rendering Memory Corruption Vulnerability - CVE-2010-0807

Per tutte le vulnerabilità segnalate è necessaria l'interazione dell'utente affinché siano sfruttate con successo da un attaccante. Lo scenario di attacco ipotizzato, pertanto, prevede che l'utente sia indotto a collegarsi ad una pagina web appositamente predisposta dall'attaccante per sfruttare tale vulnerabilità.
Ulteriori dettagli sono disponibili presso la seguenti URL:

• http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
• http://www.cert-spc.it/index.php/bollettini/notiziari/353-microsoft-vulnerabilita-di-tipo-qzero-dayq-su-internet-explorer

OpenSSL ha annunciato, nella giornata odierna, una vulnerabilità di tipo Denial of Service che interessa la versione 0.9.8m (altrimenti nota come 0.9.8f - 0.9.8m). La vulnerabilità è connessa a quella che ha interessato le connessioni TLS già segnalata dal CERT-SPC. La versione 0.9.8n corregge la vulnerabilità indicata. In considerazione del diffuso utilizzo di OpenSSL in molteplici ambienti di sviluppo si consiglia di provvedere ad installare l'aggiornamento o di veridicare la disponibilità di software correttivo dei prodotti che ospitano implementazioni della tecnologia vulnerabile.

Ulteriori informazioni sono disponibili presso le seguebtu URL:

http://www.openssl.org/news/secadv_20100324.txt
http://www.cert-spc.it/index.php/bollettini/notiziari/310-protocollo-ssltls-vulnerabilita-e-prossimo-aggiornamento-di-sicurezza

Mozilla annuncia che la versione 3.6.2 del proprio web brwser Firefox corregge più di una vulnerabilità rispetto a quanto precedentemente illustrato. Risultano ulteriori sette vulnerabilità corrette nell'aggiornamento di sicurezza appena rilasciato. Dall'aggiornamento di sicurezza risulta, inoltre, che altri prodotti sono interessati come Firefox 3.0.18, Thunderbird 3.0.2 e SeaMonkey 2.0.3 con livello di gravità stimato critico ed elevato.

Si raccomanda di installare i seguenti aggiornamenti di sicurezza:

Livello di pericolosità critico: http://www.mozilla.org/security/announce/2010/mfsa2010-11.html
Livello di pericolosità elevato: http://www.mozilla.org/security/announce/2010/mfsa2010-12.html
Livello di pericolosità critico elevato: http://www.mozilla.org/security/announce/2010/mfsa2010-10.html
Livello di pericolosità moderato: http://www.mozilla.org/security/announce/2010/mfsa2010-13.html
Livello di pericolosità moderato: http://www.mozilla.org/security/announce/2010/mfsa2010-09.html
Livello di pericolosità ridotto: http://www.mozilla.org/security/announce/2010/mfsa2010-14.html
Livello di pericolosità ridotto: http://www.mozilla.org/security/announce/2010/mfsa2010-15.html
 

Cisco ha rilasciato sette avvisi di sicurezza per correggere molteplici vulnerabilità che interessano IOS che equipaggia router e appliances. Ognuna delle vulnerabilità indicate può consentire ad un attaccante remoto di creare condizioni di denial of service. Si raccomanda, pertanto, di consultare l'elenco dei prodotti Cisco interessati dagli aggiornamenti di sicurezza disponibili al seguente indirizzo:

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee1.shtml

Mozilla Firefox ha reso disponibile la versione 3.6.2 del proprio web browser Firefox per correggere una vulnerabilità di tipo integer overflow che consente ad un attaccante in grado di sfruttarla di eseguire codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione o di creare condizioni di denial of service. La vulnerabilità si manifesta nel processo di decompressione dei tipi di caratteri (font) visualizzati e formattati in una pagina web. La vulnerabilità segnalata interessa soltanto la versione 3.6 di Mozilla Firefox: le versioni precedenti sono immuni da questa vulnerabilità.

Per la vulnerabilità sengalata il BürgerCERT, ovvero il cert del governo tedesco (Bundesamt für Sicherheit in der Informationstechnik - BSI), ha raccomandato i propri utenti di utilizzare web browser alternativi a Mozilla Firefox in attesa del rilascio del software correttivo.

http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
http://www.mozilla.com/en-US/firefox/3.6.2/releasenotes/
https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/
 

Microsoft, nell'ambito del programma mensile di rilascio del software correttivo, ha pubblicato due bollettini per correggere vulnerabilità in Microsoft Windows ed Office.

Il bollettino MS10-016 corregge una vulnerabilità (CVE-2010-0265) che interessa Windows Movie Maker e Microsoft Producer 2003 (975561). Windows Live Movie Maker, disponibile sui sistemi Windows Vista e Windows 7, invece, non risultano vulnerabili. La vulnerabilità è causata da una errata gestione dei file in formato progetto contenenti valori anomali in grado di alterare il processo di allocazione della memoria e consentire l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente che ha aperto il file predisposto dall'attaccante. Affinché l'attacco abbia successo è necessaria 'interazione dell'utente che deve, pertanto, essere indotto dall'attaccante ad aprire un file di tipo progetto con l'applicazione interessata dall'aggiornamento di sicurezza. L'aggiornamento di sicurezza richiede il riavvio dei sistemi.

Ulteriori dettagli sono disponibili presso la seguente URL: http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx

Il bollettino MS10-017 corregge 7 vulnerabilità (CVE-2010-0257, CVE-2010-0258, CVE-2010-0260, CVE-2010-0261, CVE-2010-0262, CVE-2010-0263, CVE-2010-0264) che interessano Microsoft Office Excel (980150). Le vulnerabilità consentono ad un attaccante in grado di sfruttarle con successo di eseguire codice arbitrario nel contesto di sicurezza dell'utente connesso acquisendo, quindi, gli stessi privilegi di accesso sul sistema. Lo scenario di attacco consiste nell'indurre un utente ad aprire una versione appositamente predisposta di un file Excel per sfruttare una delle vulnerabilità. Analogamente a quanto sopra indicato è necessaria l'interazione dell'utente affinché la vulnerabilità sia sfruttata con successo e si raccomanda di aggiornarne tempestivamente il software considerata la diffusione e l'utilizzo di tale tipologie di file.

Ulteriori dettagli sono disponibili presso le seguenti URL: http://www.microsoft.com/technet/security/Bulletin/MS10-017.mspx