"Patch day" di Aprile: sono cinque le patch di sicurezza rilasciate

E’ arrivato il consueto “patch day” mensile di Microsoft. L’azienda di Redmond ha rilasciato cinque patch di sicurezza che, complessivamente, risolvono 14 vulnerabilità presenti in Windows, Internet Explorer e FrontPage Server.
Per evitare di correre rischi, è bene provvedere immediatamente all’installazione degli aggiornamenti indicati per il proprio sistema operativo: non sono infatti escluse da problemi neppure le versioni più recenti di Windows (XP SP2, 2003 Server e XP x64). Ecco, nel dettaglio, tutte le patch appena rilasciate:
– MS06-013 Aggiornamento cumulativo di Aprile 2006 per Internet Explorer. La patch è stata segnalata come “critica” poiché risolve problematiche di sicurezza, presenti nelle versioni 6.0 (tutte le versioni di Windows) e 5.01 SP4 (Windows 2000) del browser Microsoft, assai pericolose. Tra le falle di sicurezza risolte (ben 10), c’è anche quella relativa all’utilizzo dell’istruzione createTextRange(). Sul web era stato già diffuso il codice exploit in grado di sfruttare la lacuna per far danni: utilizzando la funzione createTextRange() unitamente ad un checkbox o ad un radio button, un aggressore potrebbe infatti causare un errore con lo scopo di aprire l’intero sistema ad attacchi remoti (download di virus, spyware e malware in generale).
Dopo il rilascio della patch cumulativa MS06-013 per Internet Explorer, Secunia ha abbassato il livello di rischio collegato all’uso del browser Internet Explorer, da “estremamente critico” a “moderatamente critico”. Secondo gli esperti di sicurezza danesi, sarebbero infatti ancora 20 le vulnerabilità da risolvere nel prodotto Microsoft (ved. questa scheda).
– MS06-014 Aggiornamento per il componente MDAC (“Microsoft Data Access Components”). MDAC è un gruppo di tecnologie Microsoft che permette ai programmatori software di sfruttare un’interfaccia omogenea per l’accesso, tramite le proprie applicazioni, ad un gran numero di sorgenti di dati. Gli MDAC si basano su diversi componenti: ActiveX Data Objects (ADO), OLE DB e Open Database Connectivity (ODBC). Sono conservati anche componenti come Microsoft Jet Database Engine, MSDASQL, e Remote Data Services (RDS) insieme con quelli ancor più vecchi (“Data Access Objects API” e “Remote Data Objects”).
L’aggiornamento appena reso disponibile, risolve un bug di sicurezza nei Remote Data Services (RDS) che, se sfruttato, può favorire l’esecuzione di codice nocivo sul sistema vittima (l’aggressore può assumerne completamente il controllo). Sono affette dal problema praticamente tutte le versioni di Windows (XP, Server 2003, x64 e Windows 2000 con gli MDAC 2.5-2.8 installati). Massimo livello di criticità.
– MS06-015 Aggiornamento per la shell di Windows. Anche in questo caso il problema di sicurezza riguarda tutte le versioni di Windows e risiede nelle modalità con cui l’Explorer di Windows gestisce gli oggetti COM. Qualora un aggressore remoto riuscisse a “convincere” l’utente a visitare un sito web “maligno”, contenenti oggetti opportunamente sviluppati per sfruttare la falla, egli potrebbe prendere pieno possesso del sistema vittima. Livello di criticità massimo.
– MS06-016 Aggiornamento cumulativo per Outlook Express che corregge una vulnerabilità – classificata come “importante” – nella rubrica del client di posta proposto di default in tutte le versioni di Windows.
– MS06-017 Patch correttiva che risolve un problema di sicurezza di FrontPage Server Extensions il cui livello di criticità è riportato come “moderato”.
Microsoft, inoltre, ha rilasciato una revisione della patch MS06-005 per il Windows Media Player del Febbraio scorso con lo scopo di risolvere i problemi lamentati da alcuni utenti dopo l’applicazione dell’aggiornamento (blocchi durante la riproduzione di file multimediali, reimpostazione della barra di avanzamento) ed una nuova versione (la 1.15) dello “Strumento di rimozione malware” (ved. questa pagina).