Microsoft TCP/IP remote exploit

Ogni secondo martedì del mese Microsoft pubblica vari bollettini di sicurezza e nuovi aggiornamenti da installare: è un appuntamento fisso e inderogabile.
Tra gli aggiornamenti usciti in questo mese di settembre è presente un curioso aggiornamento per un problema al livello dello stack TCP/IP che consente l’esecuzione di codice remoto o di causare un DoS.
Questo è il link al bollettino di sicurezza: http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx.
Ancora una volta, questo bug è stato segnalato quasi un anno prima (CVE-2008-4609), parliamo di ottobre del 2008, problema che coinvolgeva l’implementazione dello stack TCP/IP su diversi sistemi operativi, non solo Windows.
In questo aggiornamento di Microsoft (MS09-048) vengono presi in considerazione altri problemi di sicurezza sempre riguardanti l’implementazione TCP/IP: CVE-2009-1925 e CVE-2009-1926.
Al di là del fatto che qualcuno si lamenta che un bug vecchio di un anno non fosse ancora stato sistemato del tutto, è curioso invece come Microsoft assegni criticità diverse per i suoi sistemi operativi.
Innanzitutto Windows 7 e Windows Server 2008 R2 non sono vulnerabili.
È definita vulnerabilità critica per Windows Server 2008 e Windows Vista data la possibilità di esecuzione di codice remoto; vulnerabilità importante per Windows 2000 e Windows Server 2003 e vulnerabilità bassa per Windows XP che pare consenta solo un DoS remoto.
Questa differenza può sembrare leziosa ai più ma di fatto stabilisce delle priorità all’interno di Microsoft stessa. Cosa significa? Vuol dire che NON sono presenti aggiornamenti di sicurezza per Windows 2000 e Windows XP.
Per quanto riguarda Windows 2000 purtroppo c’è da dire che ormai è in completa dismissione quindi come sistema client e server ormai non dovrebbe quasi più essere usato se non in ambienti controllati e per un uso esclusivamente interno, quindi non esponendo al mondo tali sistemi.
Invece per Windows XP il problema è molto serio. Questo sistema operativo client è ancora il principale sistema usato al mondo e sebbene Microsoft dica che di default il firewall è attivo e non lascia accesso a nessun servizio del sistema se non quelli definiti manualmente dall’utente (vedi la condivisione file e stampanti ad esempio), questo sistema è ancora nella fase di supporto per i problemi di sicurezza, non è stato affatto dismesso.
È stata aperta anche una discussione nella mailing list di sicurezza bugtraq (http://www.securityfocus.com/archive/1/506485/30/30/threaded) su questo comportamento e ci si interroga se non sia il caso di creare una patch non ufficiale, open source, da installare su questi sistemi per proteggerli.
Alcuni scusano la Microsoft dicendo che un sistema così vecchio richiede tempo e magari non è possibile tappare la falla senza causare comportamenti anomali a varie applicazioni che dipendono dalla particolare implementazione di quella parte dello stack TCP/IP di quel sistema.
Altri sostengono possa essere un modo per spingere gli utenti ad aprire il portafoglio e a passare a Vista o al nuovo Windows 7 che è in arrivo il mese prossimo.
Lascio a voi ogni ulteriore speculazione.


This entry was posted on Friday, September 25th, 2009 at 8:52 PM and is filed under microsoft.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.