Il “patch day” Microsoft di agosto ha visto la pubblicazione di nove aggiornamenti di sicurezza destinati ad Internet Explorer, alle varie versioni di Windows supportate dal colosso di Redmond, alla suite Office, a SQL Server ed al Framework .NET.
Gli aggiornamenti più critici, questo mese, sono MS14-051 e MS14-043.
Il primo è un corposo aggiornamento cumulativo destinato a tutte le versioni di Internet Explorer (dalla 6.0 alla 11) che risolve complessivamente ben 25 lacune di sicurezza. Alcune di queste sono particolarmente gravi e, sui sistemi sprovvisti della patch, potrebbero portare all’esecuzione di codice dannoso visitando pagine web malevole.
Nel nostro articolo abbiamo spiegato perché è così importante installare gli aggiornamenti per Internet Explorer anche nel caso in cui si utilizzino browser alternativi (Chrome, Firefox, Opera, Safari,…).
L’aggiornamento MS14-043 viene valutato egualmente critico perché permette di sanare una vulnerabilità in Windows Media Center che potrebbe essere sfruttata da un aggressore remoto, per eseguire codice dannoso, semplicemente persuadendo l’utente ad aprire un file Office malevolo (facente riferimento, al suo interno, a risorse Windows Media Center).
Degli altri aggiornamenti, molto importante è MS14-046. Sviluppato per le varie versioni del .NET Framework (tutte quelle inferiori alla 4.x) che consente di scongiurare il superamento delle misure di sicurezza imposte da Windows (in primi ASLR) da parte di un’applicazione malevola.
L’aggiornamento MS14-048 è invece indirizzato agli utenti di Microsoft OneNote 2007 SP3 e consente di evitare che codice dannoso venga eseguito aprendo un file malevolo.
Anche la patch MS14-047 consente di evitare attacchi che consentano all’aggressore di dribblare le misure di sicurezza imposte dal sistema operativo (Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1).
Altri aggiornamenti di questo mese consentono di evitare l’acquisizione di privilegi utente più elevati e consentono di sanare delle falle di sicurezza nel kernel di Windows (MS14-045), nel servizio Windows Installer (MS14-049) ed in SharePoint Server (MS14-050).
Infine, la patch MS14-044 è destinata agli utenti di SQL Server 2008, 2008 R2, 2012 e 2014 e consente di eliminare due vulnerabilità eventualmente sfruttabili da un aggressore per acquisire privilegi più elevati.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 9 settembre.