Dopo la “corsa all’aggiornamento” del mese di novembre, il “patch day” Microsoft pre-natalizio si annuncia abbastanza leggero. Il mese scorso aveva destato molta preoccupazione la scoperta di una pericolosa vulnerabilità nella libreria Schannel di Windows, soprattutto in ambito server: Patch day Microsoft di novembre: 14 aggiornamenti; MS14-066, patch critica soprattutto in ambito server; Patch MS14-066: problemi con le connessioni cifrate.
Microsoft, questa volta, ha complessivamente rilasciato sette aggiornamenti di sicurezza per Windows, Internet Explorer, Office ed Exchange. Tra questi vi è un aggiornamento che, all’ultimo minuto, non era stato pubblicato in occasione del “patch day” di novembre: si tratta di MS14-075, utile per scongiurare il rischio di acquisizione di privilegi più elevati da parte di malintenzionati su Exchange Server 2007, 2010 e 2013.
Le patch critiche di questo mese sono tre: MS14-080, MS14-081 e MS14-084. La prima è un aggiornamento cumulativo per Internet Explorer 6, 7, 8, 9, 10 e 11 che permette di risolvere ben 14 vulnerabilità scoperte nel browser Microsoft.
A tal proposito, vi invitiamo a leggere l’articolo Perché installare gli aggiornamenti di Internet Explorer? in cui chiariamo per quale motivo sia importante installare gli aggiornamenti per Internet Explorer anche nel caso in cui si utilizzasse un browser alternativo (Firefox, Chrome, Opera,…).
La seconda patch critica, invece, interessa gli utenti di Office e consente di scongiurare l’esecuzione di codice malevolo nel caso in cui l’utente aprisse un documento pericoloso. I successivi due aggiornamenti (MS14-082 e MS14-083) sono classificati come “importanti” ma sono egualmente utilizzabili per risolvere altre lacune di sicurezza individuate in Office (in Word ed Excel).
L’aggiornamento MS14-084 viene indicato come ad elevata criticità perché consente di risolvere una grave lacuna nel motore VBScript. Senza la patch, un utente che si trovasse a visitare un sito web malevolo, potrebbe rischiare l’esecuzione di codice dannoso sul suo sistema.
L’ultima patch, MS14-085, corregge un’imperfezione nella shell di Windows che potrebbe facilitare l’acquisizione di informazioni personali, da parte di un malintenzionato, nel caso in cui questi pubblicasse (ad esempio su un sito web), un file JPEG modificato “ad hoc”.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 13 gennaio.