Più “snello”, almeno per numero di aggiornamenti di sicurezza rilasciati, il “patch day” del mese di Microsoft.
Sono infatti quattro i bollettini di sicurezza che il colosso di Redmond ha pubblicato: due riguardano Windows Media Player mentre gli altri Windows 2000, Office ed altre applicazioni Microsoft.
– Alcune vulnerabilità in GDI+ possono portare all’esecuzione di codice nocivo in modalità remota (MS08-052). La patch, classificata come “critica”, si rivolge agli utenti di Windows 2000 SP4 che utilizzino Internet Explorer 6.0 e/o il framework .NET 2.0. Interessate dal problema anche varie versioni di Office, Visual Studio e Visual FoxPro. Il sistema dell’utente potrebbe venire compromesso, in assenza della patch, semplicemente visitando un sito web contenente file modificati “ad arte” in modo tale da sfruttare la lacuna di sicurezza. Il problema riguarda la gestione di file in formato BMP, WMF, GIF, EML e VML.
– Una vulnerabilità in Windows Media Player 9 può facilitare l’esecuzione di codice da remoto (MS08-053). Questo aggiornamento consente di sanare una vulnerabilità relativa a Windows Media Player 9, installato su qualsiasi versione di Windows. Anche in questo caso, codice dannoso potrebbe venire eseguito – in mancanza della patch – allorquando l’utente si trovi a “navigare” su un sito web maligno. La falla è presente nel controllo ActiveX WMEX.DLL installato sul sistema da parte di Windows Media Player 9. Patch indicata come “critica”.
– Una vulnerabilità in Windows Media Player potrebbe consentire l’esecuzione di codice da remoto (MS08-054). Il problema di sicurezza sanabile mediante l’applicazione di questo aggiornamento riguarda Windows Media Player 11 per Windows XP, Vista e Server 2008. In questo caso, un aggressore potrebbe sfruttare l’assenza della patch creando un file audio “maligno” e spronando la pagina web contenente l’elemento dannoso. Patch “critica”.
– Una vulnerabilità in Microsoft Office può agevolare l’esecuzione di codice in modalità remota (MS08-055). L’aggiornamento di sicurezza interessa le versioni XP, 2003 e 2007 di Office e consente di mettere una pezza ad un pericoloso bug nella gestione di URL OneNote. Il problema è correlato con una lacuna nella gestione degli URI onenote://
. La patch è indicata come “critica”.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 2.2.