Il “patch day” di questo mese è probabilmente uno dei più corposi per Microsoft. Sono infatti ben 12 i nuovi bollettini di sicurezza che sono stati rilasciati e 20 le vulnerabilità di sicurezza che vengono risolte mediante l’applicazione delle varie patch.
– MS07-005: Step-by-Step Interactive Training. Patch classificata come di livello “importante”. Riguarda tutti i sistemi Windows ove sia stato installato “Step-by-Step Interactive Training”.
– MS07-006: Windows Shell. Questa patch risolve una vulnerabilità insita nella shell di Windows che potrebbe essere sfruttata da un utente malintenzionato per acquisire privilegi più ampi. “Importante”. Riguarda i sistemi Windows XP SP2, XP Professional x64 e Windows Server 2003 nelle varie versioni.
– MS07-007: Windows Image Acquisition Service. La patch va a risolvere una falla nel servizio di acquisizione immagini di Windows XP SP2: una lacuna nell’avvio delle applicazioni, potrebbe essere sfruttata per acquisire diritti utente più elevati. Indicata come “importante”.
– MS07-008: HTML Help ActiveX Control. Questo bollettino di sicurezza sostituisce l’MS06-046 e risolve una pericolosa vulnerabilità presente nel controllo ActiveX HTML Help. La falla potrebbe essere sfruttata per eseguire codice dannoso sul sistema semplicemente preparando una pagina web “ad hoc” ed invitando l’utente a visitarla. Patch critica che interessa tutte le versioni di Windows tranne Vista.
– MS07-009: Microsoft Data Access Components. Questa patch mette una pezza ad una vulnerabilità presente nel controllo ActiveX ADODB.Connection degli MDAC. Un aggressore remoto in grado di far leva su questa lacuna di sicurezza potrebbe assumere pieno controllo della “macchina-vittima”. Ad essere interessate sono le versioni 2.5 e 2.8 degli MDAC su Windows 2000, XP e Server 2003. Patch “critica”.
– MS07-010: Microsoft Malware Protection Engine. Una falla nel motore di protezione dai componenti malware utilizzato in molteplici prodotti (Windows Live OneCare, Antigen for Exchange 9.x, Antigen for SMTP Gateway 9.x, Windows Defender, Windows Defender x64 Edition, Windows Defender in Windows Vista, Microsoft Forefront Security per Exchange Server, Microsoft Forefront Security per SharePoint) può portare all’esecuzione da remoto di codice potenzialmente nocivo. Il problema risiede nella gestione e nell’analisi dei file in formato PDF. Patch di livello critico.
– MS07-011: Microsoft OLE Dialog. In questo caso, la lacuna di sicurezza riguarda il componente “OLE Dialog”: un aggressore potrebbe inserire un oggetto OLE all’interno di un documento in formato RTF (Rich Text Format) avendo così modo di eseguire codice dannoso. Patch “importante” che riguarda tutte le versioni di Windows tranne Vista.
– MS07-012: Microsoft MFC. Anche qui, la patch consente di risolvere un problema nel componente MFC integrato in Windows ed in Visual Studio. Applicando l’aggiornamento si evita che un aggressore possa far leva sul problema creando un file RTF ed inserendovi un oggetto OLE malformato. Patch “importante” che interessa tutte le versioni di Windows e Visual Studio .NET tranne Windows Vista e Visual Studio 2005.
– MS07-013: Microsoft RichEdit. Come nel caso di alcune vulnerabilità risolte dai bollettini precedenti, anche qui l’applicazione dell’aggiornamento consente di evitare l’esposizione al rischio di esecuzione di codice nocivo da remoto nel caso in cui si dovessero aprire file “maligni”, in formato RTF, contenenti oggetti OLE malformati. Patch “importante”. Riguarda tutte le versioni di Windows e di Office tranne Vista, Microsoft Office System 2007 e Microsoft Office 2003 Service Pack 2.
– MS07-014: Microsoft Word. Questo bollettino di sicurezza contiene le patch risolutive per ben sei vulnerabilità insite in Word nelle versioni integrate nei pacchetti Office 2000, Office XP, Office 2003, Works Suite 2004-2005-2006, Office 2004 per Mac. La patch è indicata come “critica” anche perché già sono in circolazione i codici in grado di sfruttare i vari problemi oggi finalmente risolti. Nella maggioranza dei casi, l’esecuzione di codice nocivo si ha nel momento in cui si tenti di aprire un documento opportunamento modificato per far danni da parte dell’aggressore.
– MS07-015: Microsoft Office. Questa patch “critica” sistema due problemi di sicurezza presenti in Excel e PowerPoint (Office 2000, Office XP, Office 2003, Project 2000, Project 2002, Visio 2002, Office 2004 per Mac).
– MS07-016: Aggiornamento cumulativo per Internet Explorer. Questo aggiornamento, classificato come “critico”, sostituisce il precedente bollettino MS06-072 e risolve diverse vulnerabilità di sicurezza individuate in Internet Explorer 7.0, 6.0 e 5.01 (la patch non riguarda la versione di Internet Explorer 7.0 integrata in Windows Vista).
Sebbene tutti gli aggiornamenti di questo mese siano da considerare come importanti, proponiamo una tabella riassuntiva stilata dall'”Internet Storm Center” (ISC) di SANS che riassume il livello di criticità in ambito client e server per ciascun bollettino.
Microsoft ha rilasciato in contemporanea anche la versione aggiornata del suo “Strumento di rimozione malware” (ved. questa pagina per il download).