Come ogni secondo Martedì del mese, Microsoft ha provveduto a rilasciare alcune patch di sicurezza per Windows e per gli altri suoi prodotti software. Il “patch day” di Dicembre ha visto la pubblicazione di otto bollettini: sei classificati come “critici”, due come “importanti”. Ad essere interessati dall’aggiornamento sotto, complessivamente, tutte le versioni di Windows oltre al browser Internet Explorer, al riproduttore multimediale Media Player ed al pacchetto Office.
– Alcune vulnerabilità in Microsoft Runtime Extended Files (controlli ActiveX) potrebbero permettere l’esecuzione di codice nocivo in modalità remota (MS08-070). Questo aggiornamento risolve cinque vulnerabilità di sicurezza rilevate nei controlli ActiveX correlati agli “extended files” delle runtime di Visual Basic 6.0. La patch è indicata come “critica” perché ogni sviluppatore può distribuire i file oggetto di correzione unitamente con le proprie applicazioni.
Sebbene il supporto per Visual Basic 6.0 sia ufficialmente cessato a partire dallo scorso 8 Aprile, Microsoft continua ad assicurare il rilascio di patch risolutive nel momento in cui vengano scoperte nuove vulnerabilità.
La patch interessa gli sviluppatori Visual Basic 6.0 e gli utenti di Visual Studio .NET 2002 SP1 e 2003 SP1, Visual FoxPro 8.0 e 9.0, Office Frontpage 2002, Office Project 2003 e 2007.
– Alcune vulnerabilità nelle GDI potrebbero facilitare l’esecuzione di codice dannoso in modalità remota (MS08-071). L’aggiornamento di sicurezza risolve alcune falle correlate ad un’imperfetta gestione dei file grafici memorizzati in formato .WMF. La patch, che riguarda tutte le versioni di Windows, comprese le più recenti, permette di sanare una lacuna che potrebbe permettere ad un aggressore di eseguire codice dannoso invitando l’utente ad aprire un file WMF modificato “ad arte”.
Si chiama GDI (Graphics Display Interface) l’insieme di API grafiche utilizzato da Windows per gestire molteplici tipologie di file.
La patch di questo mese, indicata come di importanza “critica”, sostituisce ed integra le correzioni già applicate nel mese di Aprile scorso con il bollettino MS08-021.
– Alcune vulnerabilità in Word potrebbero consentire l’esecuzione di codice da remoto (MS08-072). Questa patch di sicurezza è stata resa disponibile con l’obiettivo di sanare una lacuna relativa all’incorretta gestione dei file in formato RTF (Rich Text Format) da parte di Microsoft Word. Un aggressore che riuscisse a persuadere l’utente ad aprire un file RTF “maligno”, modificato con lo scopo di sfruttare la vulnerabilità, potrebbe divenire in grado di eseguire codice nocivo.
Affette dal problema sono le versioni di Office 2000, XP, 2003 e 2007. Patch classificata come “critica”.
– Aggiornamento cumulativo per Internet Explorer (MS08-073). Questo aggiornamento consente di risolvere molteplici vulnerabilità di sicurezza che riguardano Internet Explorer nelle sue varie versioni (dalla 5.01 alla 7.0) e che potrebbero causare l’esecuzione di codice dannoso sul sistema visitando pagine web “maligne”. Patch indicata come “critica”.
– Alcune vulnerabilità presenti in Excel potrebbero facilitare l’esecuzione di codice dannoso in modalità remota (MS08-074). Come spesso accade, anche questo aggiornamento si occupa di mettere una pezza ad una falla presente in Microsoft Excel e che potrebbe essere sfruttata da aggressori remoti semplicemente inducendo l’utente ad aprire un foglio elettronico “maligno”, modificato con lo scopo di causare danni.
Le versioni di Office interessate sono 2000, XP, 2003 e 2007. La patch è riportata come “critica”.
– Alcune vulnerabilità in Windows Search possono permettere l’esecuzione di codice potenzialmente dannoso (MS08-075). La patch offre la possibilità di risolvere una lacuna di sicurezza che affligge la funzionalità “Windows Search” di Windows Vista e Windows Server 2008. Aprendo un file contenente informazioni circa operazioni di ricerca effettuate in precedenza che sia stato modificato da un aggressore con lo scopo di far leva sulla vulnerabilità sanabile mediante l’applicazione dell’aggiornamento, l’utente potrebbe vedere eseguito sul proprio sistema del codice dannoso. Patch “critica”.
– Alcune vulnerabilità nei componenti Windows Media potrebbero avere come conseguenza l’esecuzione di codice dannoso da remoto (MS08-076). Questa patch di sicurezza ha come scopo quello di risolvere alcune lacune di sicurezza scoperte in Windows Media Player così come nelle runtime Windows Media. La patch è stata classificata come “importante”.
– Una vulnerabilità presente in Microsoft Office SharePoint Server potrebbe facilitare l’acquisizione di privilegi più elevati (MS08-077). Mediante l’installazione di questa patch, gli utenti SharePoint possono scongiurare l’acquisizione di privilegi utente più elevati da parte di persone non autorizzate. Patch “importante”.
A corollario del “patch day” odierno, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 2.5 ed un update cumulativo (KB955839) dei fusi orario per le varie versioni di Windows.
I bollettini appena resi pubblici sono gli ultimi dell’anno. Nel 2008, complessivamente, Microsoft ha distribuito 77 nuovi aggiornamenti di sicurezza. Il dato è superiore a quello dello scorso anno (69 patch rilasciate) ed in linea, invece, con quello relativo al 2006 (78 aggiornamenti). Il 2000 fu l’anno durante il quale il colosso di Redmond dovette pubblicare il maggior numero di bollettini di sicurezza: ben 100.