In occasione del “patch day” del mese di febbraio, Microsoft ha complessivamente rilasciato nove aggiornamenti di sicurezza tre dei quali indicati come ad elevata criticità (MS15-009, MS15-010 e MS15-011; vedere questa pagina riassuntiva).
L’aggiornamento più importante in assoluto è probabilmente quello destinato ad Internet Explorer (MS15-009) dal momento che consente di risolvere ben 40 vulnerabilità scoperte nel browser Microsoft. La più grave in assoluto è la falla Universal XSS della quale abbiamo parlato nell’articolo Internet Explorer sotto attacco Universal XSS.
Un aggressore, sfruttando tale lacuna di sicurezza, può riuscire a leggere i contenuti relativi ad altri siti web (compreso il contenuto di eventuali cooke di autenticazione), sottrarli ed inviarli a terzi. Molto più facile, inoltre, mettere in atto attacchi phishing.
La patch MS15-009 dovrebbe quindi essere installata prima possibile da parte degli utenti di Internet Explorer e comunque da parte di tutti gli utenti di Windows (Perché installare gli aggiornamenti di Internet Explorer?.
Ugualmente critica è la patch MS15-011 che permette di risolvere un problema legato alla gestione delle policy di gruppo in Windows. Il sistema operativo, infatti, può essere configurato in maniera tale da recuperare uno script di login remoto ed eseguirlo. Un aggressore, persuadendo l’utente a collegarsi ad una rete da lui gestita, potrebbe quindi riuscire ad eseguire uno script malevolo.
La patch MS15-011 dovrebbe quindi essere tempestivamente installata su tutti quei sistemi Windows che si usano frequentemente in viaggio e con cui ci si collega a reti “untrusted” (vedere anche questo articolo).
La patch MS15-010, invece, risolve una lacuna nei driver kernel-mode di Windows che potrebbe essere sfruttata da un aggressore per eseguire codice nocivo sul sistema dell’utente (basterà invitarlo ad aprire un documento malevolo o a visitare una pagina web contenente fonti di carattere TrueType malformate).
Gli altri aggiornamenti di questo mese riguardano il pacchetto Microsoft Office e consentono di sanare alcune vulnerabilità di minor conto nella GUI di Windows, nel gestore delle macchine virtuali e ridurre i rischi di acquisizione di privilegi più elevati da parte di utenti normali.
L’aggiornamento KB3001652 per Visual Studio 2010, rapidamente ritirato da Microsoft perché causa di problemi, è stato nuovamente rilasciato in queste ore in una versione rivista e corretta.
Al momento non sono noti problemi ingeneratisi a seguito dell’applicazione delle patch di sicurezza di questo mese. Suggeriamo comunque di configurare Windows Update in modo che l’installazione degli aggiornamenti avvenga in modo manuale.
Dal Pannello di controllo di Windows, è bene accedere a Windows Update, fare clic su Cambia impostazioni quindi scegliere la voce Verifica la disponibilità di aggiornamenti ma consenti all’utente di scegliere se scaricarli e installarli.
In questo modo si eviterà che gli aggiornamenti vengano immediatamente ed automaticamente installati. Le varie patch distribuite da Microsoft potranno poi essere manualmente installate a distanza di qualche giorno non appena si avrà la ragionevole certezza che non possano provocare problemi.
L’appuntamento con il prossimo “patch day” Microsoft è fissato per il 10 marzo.