In occasione del “patch day” di novembre, Microsoft ha rilasciato otto aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Office ed Internet Explorer.
Degli otto bollettini di sicurezza, solo tre sono classificati come “critici”; i restanti come “importanti”.
Tra gli aggiornamenti più critici, da installare nell’immediato, c’è un aggiornamento cumulativo per la protezione di Internet Explorer (MS13-088) che permette di “tappare” ben dieci buchi presenti nel browser Microsoft. L’aggiornamento interessa tutte le versioni di Internet Explorer (dalla 6.0 alla recentissima versione 11). La patch dovrebbe essere applicata da parte di tutti gli utenti, anche da coloro che preferiscono utilizzare un browser alternativo a quello del colosso di Redmond.
Molto importante (anche perché interessa tutte le versioni di Windows) è la patch MS13-089 che consente di scongiurare l’esecuzione di codice nocivo nel momento in cui l’utente provasse ad aprire un file WordPad malevolo.
Anche l’aggiornamento MS13-090 interessa tutte le versioni di Windows e permette la disabilitazione di componenti ActiveX noti per causare problemi di stabilità o di sicurezza.
Per quanto riguarda invece le patch di importanza minore (classificate come “importanti”), MS13-091 risolve tre vulnerabilità presenti in Office che potrebbero favorire l’esecuzione di codice dannoso aprendo un documento WordPerfect dannoso; MS13-092 evita l’acquisizione di privilegi utente più elevati con Hyper-V in Windows Server 2012 così come in Windows 8 x64; MS13-093 evita la rivelazione di informazioni personali da parte del Windows Ancillary Function Driver; MS13-094 impedisce che la versione di Outlook presente in tutte le versioni di Office porti all’esposizione di informazioni sensibili nel momento in cui si apra un messaggio di posta confezionato “ad arte”. Infine, l’aggiornamento MS13-095 risolve una vulnerabilità in Windows che potrebbe facilitare attacchi DoS (Denial of Service) nel momento in cui un servizio web utilizzasse un certificato X.509 modificato da un malintenzionato.
Microsoft ha poi provveduto a rilasciare la versione 5.6 del noto Strumento per la rimozione malware.
È importante notare come nel “patch day” odierno non sia stato inserito alcun aggiornamento in grado di risolvere la pericolosa vulnerabilità recentemente scoperta in Office 2003, Office 2007, Office 2010 su Windows XP, Windows Vista e Windows Server 2008 (Vulnerabilità nelle vecchie versioni di Office e in Vista). Tale lacuna di sicurezza è particolarmente problematica perché potrebbe portare all’esecuzione di codice dannoso semplicemente visualizzando un file grafico in formato TIFF preparato da parte di un aggressore. L’unica soluzione, almeno per il momento, consiste nell’installazione dell’aggiornamento temporaneo (“fix”) scaricabile a questo indirizzo.
Nella sua consueta analisi mensile, l’Internet Storm Center (ISC) di SANS richiama questa volta l’attenzione degli utenti sulla patch MS13-090, considerata ad elevatissima criticità in ambito client. Valutate “critiche”, sempre lato client, le patch MS13-088, MS13-089 e MS13-091.
Per quanto riguarda le configurazioni server, tutte le patch vengono giudicate da ISC come “importanti”.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 10 dicembre 2013.