Gli aggiornamenti vanno complessivamente a risolvere 15 falle, delle quali 12 considerate come “critiche”.
Nel corso del suo consueto “patch day”, Microsoft ha rilasciato,
per il mese di giugno, sei aggiornamenti che vanno a risolvere complessivamente
15 falle di sicurezza, 12 delle quali considerate “critiche”.
– MS07-030 Questa patch di sicurezza risolve alcune vulnerabilità scoperte
nei software Visio 2002 e Visio 2003 che possono esporre l’utente a rischi di
esecuzione di codice nocivo. Il problema non riguarda la versione 2007 del prodotto.
La vulnerabilità è stata classificata come “importante”.
– MS07-031
L’aggiornamento consente di risolvere una pericolosa vulnerabilità di
sicurezza presente in tutte le versioni di Windows tranne che in Vista. I rischi
maggiori riguardano gli utenti di Windows XP (comprese le versioni a 64 bit
del sistema oprativo) mentre per chi utilizza Windows Server 2003 e Windows
2000 SP4 i pericoli sono più moderati.
La vulnerabilità di sicurezza riguarda il pacchetto Secure Channel di
Windows che implementa i protocolli di autenticazione standard Secure Sockets
Layer (SSL) e Transport Layer Security (TLS). Qualora l’utente dovesse collegarsi
con una pagina web espressamente studiata per sfruttare la lacuna di sicurezza,
potrebbe vedere eseguito – a propria insaputa – sul sistema in uso, codice dannoso.
Sui sistemi Windows Server 2003 e Windows 2000 il problema dovrebbe ridursi
ad un crash del browser o del sistema. Patch “critica”.
– MS07-032
Questo aggiornamento di sicurezza risolve invece una vulnerabilità messa
a nudo su sistemi Windows Vista che potrebbe consentire ad un utente, dotato
di privilegi ridotti, di acquisire diritti amministrativi che gli consentano
di impossessarsi di password ed informazioni sensibili. Patch classificata come
di importanza “moderata”.
– MS07-033
I problemi che questa patch consente di sistemare sono invece estremamente critici
e riguardano il browser Internet Explorer nelle versioni 5.01, 6.0 e 7.0. Le
falle risolte sono cinque e riguardano anche la versione di Internet Explorer
integrata in Windows Vista. Tutte le vulnerabilità possono avere come
spiacevole conseguenza l’esecuzione di codice da remoto semplicemente visitando
una pagina web “maligna”, opportunamente progettata per far danni.
In tutti i casi, chi fa uso di account dotati di privilegi ridotti (ovvero coloro
che non “navigano” con account dotati di diritti amministrativi),
subirebbe danni molto più limitati. Una vulnerabilità, invece,
può facilitare attività di “spoofing” (con questo termine
si definisce i tentativi di attacco con cui, attraverso una pagina web appositamente
congeniata, si può far credere all’utente di star visitando il sito desiderato
quando, in realtà, sta navigando all’interno di pagine web pericolose).
Patch indicata come “critica”.
– MS07-034
L’aggiornamento di sicurezza riguarda Outlook Express e Windows Mail, il client
di posta elettronica che Microsoft ha inserito in Windows Vista. L’applicazione
di questa patch interessa gli utenti di tutte le versioni di Windows tranne
coloro che utilizzano Windows 2000 SP4. Le vulnerabilità complessivamente
risolte sono, in questo caso, quattro e consentono di mettersi al riparo dai
rischi derivanti dall’apertura di messaggi di posta contenenti codice nocivo.
Patch “critica”.
– MS07-035
L’ultimo degli aggiornamenti di sicurezza rilasciati questo mese interessa tutte
le versioni di Windows, fatta eccezione per Vista. La vulnerabilità riguarda
le API Win32 del sistema operativo e potrebbe consentire ad un malintenzionato
di eseguire, da remoto, codice nocivo qualora l’API risultasse in uso da parte
dell’applicazione utilizzata per far leva sul problema di sicurezza. Patch “critica”.
L’Internet Storm Center di SANS, dopo aver esaminato i vari bollettini di sicurezza
di questo mese, ha pubblicato
il proprio giudizio sulla criticità degli stessi, sia per quanto
riguarda i client che per le configurazioni server.
Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” giunto alla versione 1.30.
