Nel corso del suo consueto “patch day”, Microsoft ha rilasciato, per il mese di Giugno, sei aggiornamenti che vanno a risolvere complessivamente 15 falle di sicurezza, 12 delle quali considerate “critiche”.
– MS07-030 Questa patch di sicurezza risolve alcune vulnerabilità scoperte nei software Visio 2002 e Visio 2003 che possono esporre l’utente a rischi di esecuzione di codice nocivo. Il problema non riguarda la versione 2007 del prodotto. La vulnerabilità è stata classificata come “importante”.
– MS07-031 L’aggiornamento consente di risolvere una pericolosa vulnerabilità di sicurezza presente in tutte le versioni di Windows tranne che in Vista. I rischi maggiori riguardano gli utenti di Windows XP (comprese le versioni a 64 bit del sistema oprativo) mentre per chi utilizza Windows Server 2003 e Windows 2000 SP4 i pericoli sono più moderati.
La vulnerabilità di sicurezza riguarda il pacchetto Secure Channel di Windows che implementa i protocolli di autenticazione standard Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Qualora l’utente dovesse collegarsi con una pagina web espressamente studiata per sfruttare la lacuna di sicurezza, potrebbe vedere eseguito – a propria insaputa – sul sistema in uso, codice dannoso. Sui sistemi Windows Server 2003 e Windows 2000 il problema dovrebbe ridursi ad un crash del browser o del sistema. Patch “critica”.
– MS07-032 Questo aggiornamento di sicurezza risolve invece una vulnerabilità messa a nudo su sistemi Windows Vista che potrebbe consentire ad un utente, dotato di privilegi ridotti, di acquisire diritti amministrativi che gli consentano di impossessarsi di password ed informazioni sensibili. Patch classificata come di importanza “moderata”.
– MS07-033 I problemi che questa patch consente di sistemare sono invece estremamente critici e riguardano il browser Internet Explorer nelle versioni 5.01, 6.0 e 7.0. Le falle risolte sono cinque e riguardano anche la versione di Internet Explorer integrata in Windows Vista. Tutte le vulnerabilità possono avere come spiacevole conseguenza l’esecuzione di codice da remoto semplicemente visitando una pagina web “maligna”, opportunamente progettata per far danni. In tutti i casi, chi fa uso di account dotati di privilegi ridotti (ovvero coloro che non “navigano” con account dotati di diritti amministrativi), subirebbe danni molto più limitati. Una vulnerabilità, invece, può facilitare attività di “spoofing” (con questo termine si definisce i tentativi di attacco con cui, attraverso una pagina web appositamente congeniata, si può far credere all’utente di star visitando il sito desiderato quando, in realtà, sta navigando all’interno di pagine web pericolose). Patch indicata come “critica”.
– MS07-034 L’aggiornamento di sicurezza riguarda Outlook Express e Windows Mail, il client di posta elettronica che Microsoft ha inserito in Windows Vista. L’applicazione di questa patch interessa gli utenti di tutte le versioni di Windows tranne coloro che utilizzano Windows 2000 SP4.
Le vulnerabilità complessivamente risolte sono, in questo caso, quattro e consentono di mettersi al riparo dai rischi derivanti dall’apertura di messaggi di posta contenenti codice nocivo. Patch “critica”.
– MS07-035 L’ultimo degli aggiornamenti di sicurezza rilasciati questo mese interessa tutte le versioni di Windows, fatta eccezione per Vista.
La vulnerabilità riguarda le API Win32 del sistema operativo e potrebbe consentire ad un malintenzionato di eseguire, da remoto, codice nocivo qualora l’API risultasse in uso da parte dell’applicazione utilizzata per far leva sul problema di sicurezza. Patch “critica”.
L’Internet Storm Center di SANS, dopo aver esaminato i vari bollettini di sicurezza di questo mese, ha pubblicato il proprio giudizio sulla criticità degli stessi, sia per quanto riguarda i client che per le configurazioni server (ved. questa pagina).
Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 1.30.