In occasione del “patch day” di maggio, Microsoft ha rilasciato dieci aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Internet Explorer, .NET Framework, Office, Windows Essentials e Lync.
Dei dieci bollettini di sicurezza, solamente due sono classificati come “critici” mentre i restanti otto come “importanti”.
Secondo l’analisi dei tecnici Microsoft, le patch da applicare senza indugio sono le prime due (MS13-037 e MS13-038). L’uno è un aggiornamento cumulativo destinato a tutte le versioni di Internet Explorer mentre l’altro consente di sanare una lacuna di sicurezza scoperta in Internet Explorer 8.0 e 9.0 (si tratta della falla che avevamo documentato, qualche giorno fa, con l’articolo Brutta falla di sicurezza in Internet Explorer 8.0).
La patch MS13-039 dà invece modo di correggere il comportamento anomalo tenuto dal file di sistema HTTP.sys che, su Windows 8, Windows RT e Windows Server 2012 potrebbe facilitare attacchi di tipo Denial of Service (DoS).
Altrettanto importante il bollettino MS13-040 che si rivolge agli utenti di diverse versioni del Framework .NET. Installandolo si eviterà che un utente malintenzionato possa modificare il contenuto di un file XML ed accedere così a funzionalità cruciali, come se fosse un utente precedentemente autenticato.
Molti dei restanti bollettini debbono essere invece applicati dagli utenti di Microsoft Office e del pacchetto Windows Essentials in modo da evitare l’esecuzione di codice potenzialmente dannoso, semplicemente aprendo un documento maligno, o la condivisione di informazioni personali.
L’ultima patch (MS13-046) consente di scongiurare l’acquisizione di privilegi utente più elevati da parte di un aggressore andando a modificare i driver kernel-mode del sistema operativo. L’aggiornamento interessa tutte le versioni di Windows.
Nell’ambito della loro consueta analisi mensile, gli esperti dell’Internet Storm Center (SANS ISC) indicano la patch MS13-038 come quella a più elevata criticità in ambito client. Un gradino più sotto – sebbene pur sempre critiche – vengono posti i bollettini MS13-037, MS13-041, MS13-042, MS13-043 e MS13-045. Lato server, ISC non definisce “critico” alcun bollettino: tutte le patch di questo mese vengono valutate come “importanti”.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 11 giugno 2013.