Dopo l'”aggiornamento speciale” rilasciato il 1° maggio scorso ed indirizzato anche agli utenti di Windows XP (Risolta la vulnerabilità 0-day di IE, anche su Windows XP), Microsoft ha appena pubblicato e reso disponibili attraverso tutti i suoi canali (Windows Update compreso) otto aggiornamenti voti alla risoluzione di una serie di problematiche di sicurezza relative a Windows, Internet Explorer, Office ed al pacchetto framework .NET.
Questa volta le patch più critiche sono due: MS14-022 e MS14-029.
Il primo è un aggiornamento di sicurezza che consente di sanare alcune vulnerabilità scoperte nei software Microsoft SharePoint Server nelle versioni 2007 e 2010 oltre che in Office Web Apps 2007 e 2010. Un aggressore, che comunque dev’essersi già autenticato, può riuscire ad eseguire codice dannoso semplicemente inviando una pagina preparata ad arte verso il server SharePoint vulnerabile.
L’aggiornamento MS14-029 è invece una patch di sicurezza per tutte le versioni di Internet Explorer, dalla 6.0 fino alla 11 comprese.
L’update risolve due vulnerabilità che possono portare all’esecuzione di codice nocivo sul sistema dell’utente nel momento in cui ci si trovi a visitare una pagina web malevola. È importante notare che l’aggiornamento dovrebbe essere installato su tutte le versioni di Windows, indipendentemente dal fatto che si utilizzi o meno – come browser predefinito – un prodotto diverso da Internet Explorer.
L’aggiornamento MS14-029 non può essere installato dagli utenti di Windows XP, sistema operativo che ormai non è più supportato da parte di Microsoft.
Il consiglio, come ricordato nell’articolo Windows XP dopo aprile 2014: come mettere in sicurezza il sistema operativo, è quello di valutare la migrazione ad un sistema operativo pienamente supporto dal rispettivo produttore e comunque, qualora non si potesse ancora abbandonare XP, evitare l’utilizzo di Internet Explorer servendosi contemporaneamente di strumenti di sandboxing e di utilità che prevengono l’esecuzione di codice dannoso (Microsoft EMET e Malwarebytes Anti-Exploit).
Come ulteriore misura preventiva, è bene impedire i download da Internet Explorer seguendo le indicazioni riportate nell’articolo Bloccare i download in Internet Explorer, una misura importante su Windows XP.
I restanti aggiornamenti del mese di maggio sono stati classificati, da Microsoft, come “importanti”. MS14-025 consente di sanare una lacuna nella gestione delle policy di gruppo attraverso Active Directory (riguarda i sistemi Windows Vista, Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Server 2012, Windows Server 2012 R2, Windows 8.0 e Windows 8.1).
Sempre sul versante Windows, MS14-027 consente di scongiurare la possibile acquisizione di privilegi utente più elevati da parte di un aggressore che esegua un’applicazione facente uso della funzione “ShellExecute”.
L’aggiornamento non è altamente critico perché il malintenzionato deve comunque essere in possesso di credenziali d’accesso valide per eseguire il codice dannoso. La patch interessa tutte le versioni di Windows.
L’aggiornamento MS14-028, invece, permette di evitare attacchi DoS (Denial of Service) che sfruttino l’invio di pacchetti iSCSI all’interno della rete (il problema riguarda solo Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2).
L’unico update destinato al pacchetto .NET Framework (MS14-026; complessivamente, sono interessate tutte le versioni in circolazione) consente di scongiurare l’eventuale acquisizione di privilegi più elevati da parte di un aggressore. La vulnerabilità è giudicata solamente “importante” perché la funzionalità oggetto di correzione (.Net remoting) è poco utilizzata da parte delle varie applicazioni.
Gli ultimi aggiornamenti (MS14-023 e MS14-024) consentono di sanare alcune vulnerabilità scoperte in Office 2007, 2010 e 2013.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 10 giugno 2014.