Archivio » 2003 » giugno » lunedì 23 »

Tre nuove patch per Microsoft

Scritto da Guido Sintoni

I primi tre bollettini Microsoft del 2003 riguardano prevalentemente componenti lato server. MS03-01 concerne sistemi Nt/2000/Xp impiegati come controller di dominio e descrive una non corretta gestione della memoria (unchecked buffer) nel servizio Microsoft Locator, che può portare all’esecuzione di codice arbitrario sulla macchina remota; la vulnerabilità è definita critica, soprattutto per sistemi Nt 4.0 e 2000 Domain Controller, per i quali Locator è attivato di default.

MS03-02 riguarda una patch cumulativa per Microsoft Content Management Server 2001, nel quale un insieme di vulnerabilità di cross site scripting (dovute all’errata convalida di alcune pagine Web che girano sul server) possono portare all’esposizione di informazioni immagazzinate sul server. La vulnerabilità è definita importante.

MS03-03 riguarda anch’essa un problema di esposizione di informazioni, relative ad Outlook 2002. Se il noto client di posta elettronica invia e-mail in formato Html utilizzando certificati digitali emessi da un server V1 Exchange, anziché inviare messaggi criptati, invia semplici messaggi di testo non criptati. La vulnerabilità è definita moderata; tra i fattori mitiganti, Microsoft sottolinea che la forma di cifratura più utilizzata da Outlook 2002 verte peraltro su S/Mime.