Nel corso del “patch day” di aprile, Microsoft ha rilasciato 11 aggiornamenti di sicurezza per Windows, Internet Explorer, Office e .NET Framework. Quattro aggiornamenti sono stati valutati come critici mentre gli altri sono stati giudicati “importanti”.
Gli aggiornamenti più importanti del mese sono, senza ombra di dubbio, MS15-034 e MS15-035.
Il primo è importantissimo anche e soprattutto in ottica server (dovrebbe essere installato quanto prima anche su Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2) perché risolve una pericolosa vulnerabilità nello stack HTTP.
Nel momento in cui il sistema operativo si trovasse ad elaborare una richiesta HTTP “confezionata ad arte” da un aggressore, questi potrebbe riuscire ad eseguire codice dannoso, nel contesto dell’account SYSTEM di Windows.
Per il momento la vulnerabilità non sembra ancora di pubblico dominio né, tanto meno, utilizzata in attacchi diretti verso obiettivi selezionati.
È molto probabile, tuttavia, che attraverso il reverse engineering dell’aggiornamento di sicurezza i criminali informatici possano presto mettere a punto il codice exploit per sferrare attacchi efficaci.
La patch interessa anche gli utenti di Windows 7 e Windows 8.1.
L’aggiornamento MS15-035, invece, consente di scongiurare l’esecuzione di codice dannoso nel caso in cui un aggressore riuscisse a convincere il malcapitato a visitare una pagina web contenente un file grafico EMF elaborato ad arte.
La patch riguarda Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Ad elevata criticità anche gli aggiornamenti MS15-032 e MS15-033: il primo è un aggiornamento concepito per tutte le versioni di Internet Explorer (dalla 6.0 alla 11 comprese); il secondo consente di risolvere alcune vulnerabilità in Office 2007, 2010, 2013 ed Office per Mac.
La lista completa degli aggiornamenti Microsoft di aprile 2015 è consultabile a questo indirizzo.
L’appuntamento con il prossimo “patch day” Microsoft è fissato per il 12 maggio.