Come ogni secondo Martedì del mese è tempo di patch: Microsoft questa volta ha rilasciato 10 nuovi aggiornamenti per numerose vulnerabilità (in totale sono 26) che riguardano Windows ed Office (non è esclusa anche la versione 2003).
Cominciamo con le sei patch classificate con il massimo livello di severità (importanza “critica”):
– MS06-057. La patch risolve un pericoloso problema relativo alla shell di Windows. Una grave “lacuna” presente nella libreria webvw.dll che fa capo al controllo ActiveX “WebViewFolderIcon” può far sì che visitando una pagina web “maligna”, contenente il codice in grado di far leva sulla vulnerabilità, il sistema divenga facile preda di aggressori remoti. Sul web è già purtroppo ampiamente diffuso il codice exploit in grado di far danni. Chi avesse applicato patch temporanee (non supportate in alcun modo da parte di Microsoft) rilasciate dalle varie aziende attive nel campo della sicurezza informatica si deve assicurare di averle disinstallate prima di applicare “la pezza” MS06-057.
– MS06-058. Mediante l’applicazione di questa patch si risolve un problema di sicurezza scoperto in PowerPoint (versioni 2000, XP, 2003 per pc nonché Office 2004 e Office X per Mac) che può portare un malintenzionato ad assumere il controllo completo del sistema semplicemente persuadendo l’utente ad aprire un documento “maligno”.
– MS06-059. Risolve un problema in Microsoft Excel (versioni 2000, XP, 2003 per pc nonché Office 2004 e Office X per Mac) simile a quello relativo a PowerPoint.
– MS06-060. Risolve un problema di sicurezza scoperto in Microsoft Word (versioni 2000, XP, 2003 per pc, Microsoft Works, nonché Office 2004 e Office X per Mac) simile a quello relativo a PowerPoint.
– MS06-061. La patch sistema un problema di sicurezza nei componenti chiave del sistema che gestiscono file in formato XML (parser XML, Microsoft XML Core Services) e che è persente in varie versioni di Windows (2000 SP4, XP, XP Professional x64, Server 2003).
– MS06-062. Questa patch consente l’applicazione di una serie di interventi risolutivi legati ad altrettante vulnerabilità di sicurezza nei vari componenti della suite Office di Microsoft (Office 2000 SP3, Office XP SP3, Office 2003 SP1/SP2, Project 2000 SR1, Project 2002 SP1, Visio 2002 SP2, Office 2004 per Mac, Office X per Mac).
Un’unica patch è stata classificata come “importante”:
– MS06-063. La patch consente di scongiurare il pericolo che la macchina in uso possa cadere vittima di attacchi di tipo DoS (“Denial of Service”) basati sull’invio di messaggi di rete opportunamente modificati.
Due gli aggiornamenti indicati come d’importanza “moderata”:
– MS06-056. Una vulnerabilità insita nel framework .NET 2.0 può favorire attacchi di tipo cross-site scripting.
– MS06-065. L’applicazione di questa patch evita di esporsi ad attacchi remoti che facciano leva su una vulnerabilità presente nel “Windows Object Packager” e che potrebbe essere sfruttata inserendo particolare codice maligno in normali pagine web (l’aggiornamento si rivolge agli utenti di Windows XP e Windows Server 2003).
Concludiamo con l’ultima patch, contrassegnata con un livello di severità “basso”:
– MS06-064. Destinata ai soli sistemi Windows XP e Windows Server 2003, risolve una vulnerabilità presente nell’implementazione TCP del protocollo IPv6 e che potrebbe esporre ad attacchi DoS.
Oltre ai dieci bollettini di sicurezza, Microsoft ha reso disponibile anche una versione aggiornata del suo “Strumento di rimozione malware”, prelevabile da questa pagina.
Con il “patch day” di Ottobre si conclude anche il supporto ufficiale per Windows XP Service Pack 1: a partire da quest’oggi il colosso di Redmond non rilascerà più aggiornamenti relativi a questa versione del sistema operativo destinandoli esclusivamente agli utenti di Windows XP SP2.