In occasione del “patch day” di agosto, Microsoft ha rilasciato otto aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows e in Internet Explorer.
Degli otto bollettini di sicurezza, soltanto i primi tre sono classificati come “critici”; i restanti come “importanti”.
L’aggiornamento MS13-059 dovrebbe essere tempestivamente installato da parte di tutti gli utenti perché risolve una serie di vulnerabilità rilevata in Internet Explorer 6.0, 7.0, 8.0, 9.0 e 10. Patch “critica”.
Il successivo bollettino di sicurezza (MS13-060), consente di sanare una pericolosa lacuna presente nell’Unicode Scripts Processor, componente del sistema operativo che – in mancanza della patch – potrebbe portare all’esecuzione di codice dannoso semplicemente visualizzando un documento (contenente caratteri OpenType) preparato “ad arte” da un aggressore. L’aggiornamento, indicato come critico, interessa gli utenti di Windows XP SP3 e Windows Server 2003.
Il terzo aggiornamento ad elevata criticità (MS13-061) riguarda gli utenti di Microsoft Exchange Server 2007 e 2010. In questo caso, l’esecuzione di codice potenzialmente nocivo in modalità remota potrebbe verificarsi nel momento in cui si cerchi di visualizzare in anteprima un file appositamente predisposto utilizzando Outlook Web App (OWA).
Inviando una richiesta RCP (Remote Procedure Call) appositamente modificata ad una qualunque versione di Windows, un aggressore – in assenza dell’aggiornamento (MS13-062) – potrebbe riuscire ad acquisire privilegi più elevati. La patch è indicata come “importante”.
L’installazione della patch MS13-063 consentirà invece di mettersi al riparo da una serie di possibili attacchi rivolti al kernel di Windows (tutte le versioni con l’esclusione delle edizioni del sistema operativo a 64 bit e di Windows Server 2012). Nel caso in cui l’aggressione dovesse andare a buon fine, il malintenzionato può – in questo caso – acquisire privilegi utente più elevati. L’aggiornamento è indicato come “importante”.
L’aggiornamento MS13-064 riguarda invece solo gli utenti di Windows Server 2012 e permette di risolvere una lacuna di sicurezza scoperta all’interno del driver NAT del sistema operativo. Nel caso in cui la patch dovesse mancare all’appello, un malintenzionato potrebbe riuscire a sferrare un attacco di tipo Denial of Service (DoS). Patch “importante”.
L’ultima patch, anch’essa valutata “importante”, interessa solamente gli utenti delle versioni Server di Windows che abbiano installato Active Directory Federation Services. In assenza dell’aggiornamento, un aggressore potrebbe riuscire ad intercettare informazioni sensibili.
Nell’ambito della loro consueta analisi mensile, gli esperti dell’Internet Storm Center (SANS ISC) indicano le patch MS13-059, MS13-060, MS13-062, MS13-063 e MS13-065 come le più critiche per i sistemi client. Lato server, invece, gli aggiornamenti valutati come più critici sono MS13-061 e MS13-065.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 10 settembre 2013.