Patch day: 12 i bollettini di sicurezza rilasciati, di cui 6 classificati con livello critico.
Il "patch day" di questo mese è probabilmente uno dei più
corposi per Microsoft. Sono infatti ben 12 i nuovi bollettini di sicurezza che
sono stati rilasciati e 20 le vulnerabilità di sicurezza che vengono risolte
mediante l’applicazione delle varie patch.
MS07-005: Step-by-Step Interactive Training. Patch classificata
come di livello "importante". Riguarda tutti i sistemi Windows ove
sia stato installato "Step-by-Step Interactive Training".
MS07-006: Windows Shell. Questa patch risolve una vulnerabilità
insita nella shell di Windows che potrebbe essere sfruttata da un utente malintenzionato
per acquisire privilegi più ampi. "Importante". Riguarda i
sistemi Windows XP SP2, XP Professional x64 e Windows Server 2003 nelle varie
versioni.
MS07-007: Windows Image Acquisition Service. La patch va
a risolvere una falla nel servizio di acquisizione immagini di Windows XP SP2:
una lacuna nell’avvio delle applicazioni, potrebbe essere sfruttata per acquisire
diritti utente più elevati. Indicata come "importante".
MS07-008: HTML Help ActiveX Control. Questo bollettino di
sicurezza sostituisce l’MS06-046 e risolve una pericolosa vulnerabilità
presente nel controllo ActiveX HTML Help. La falla potrebbe essere sfruttata
per eseguire codice dannoso sul sistema semplicemente preparando una pagina
web "ad hoc" ed invitando l’utente a visitarla. Patch critica che
interessa tutte le versioni di Windows tranne Vista.
MS07-009: Microsoft Data Access Components. Questa patch
mette una pezza ad una vulnerabilità presente nel controllo ActiveX ADODB.Connection
degli MDAC. Un aggressore remoto in grado di far leva su questa lacuna di sicurezza
potrebbe assumere pieno controllo della "macchina-vittima". Ad essere
interessate sono le versioni 2.5 e 2.8 degli MDAC su Windows 2000, XP e Server
2003. Patch "critica".
MS07-010: Microsoft Malware Protection Engine. Una falla
nel motore di protezione dai componenti malware utilizzato in molteplici prodotti
(Windows Live OneCare, Antigen for Exchange 9.x, Antigen for SMTP Gateway 9.x,
Windows Defender, Windows Defender x64 Edition, Windows Defender in Windows
Vista, Microsoft Forefront Security per Exchange Server, Microsoft Forefront
Security per SharePoint) può portare all’esecuzione da remoto di codice
potenzialmente nocivo. Il problema risiede nella gestione e nell’analisi dei
file in formato PDF. Patch di livello critico.
MS07-011: Microsoft OLE Dialog. In questo caso, la lacuna
di sicurezza riguarda il componente "OLE Dialog": un aggressore potrebbe
inserire un oggetto OLE all’interno di un documento in formato RTF (Rich Text
Format) avendo così modo di eseguire codice dannoso. Patch "importante"
che riguarda tutte le versioni di Windows tranne Vista.
MS07-012: Microsoft MFC. Anche qui, la patch consente di
risolvere un problema nel componente MFC integrato in Windows ed in Visual Studio.
Applicando l’aggiornamento si evita che un aggressore possa far leva sul problema
creando un file RTF ed inserendovi un oggetto OLE malformato. Patch "importante"
che interessa tutte le versioni di Windows e Visual Studio .NET tranne Windows
Vista e Visual Studio 2005.
MS07-013: Microsoft RichEdit. Come nel caso di alcune vulnerabilità
risolte dai bollettini precedenti, anche qui l’applicazione dell’aggiornamento
consente di evitare l’esposizione al rischio di esecuzione di codice nocivo
da remoto nel caso in cui si dovessero aprire file "maligni", in formato
RTF, contenenti oggetti OLE malformati. Patch "importante". Riguarda
tutte le versioni di Windows e di Office tranne Vista, Microsoft Office System
2007 e Microsoft Office 2003 Service Pack 2.
MS07-014: Microsoft Word. Questo bollettino di sicurezza
contiene le patch risolutive per ben sei vulnerabilità insite in Word
nelle versioni integrate nei pacchetti Office 2000, Office XP, Office 2003,
Works Suite 2004-2005-2006, Office 2004 per Mac. La patch è indicata
come "critica" anche perché già sono in circolazione
i codici in grado di sfruttare i vari problemi oggi finalmente risolti. Nella
maggioranza dei casi, l’esecuzione di codice nocivo si ha nel momento in cui
si tenti di aprire un documento opportunamento modificato per far danni da parte
dell’aggressore.
MS07-015: Microsoft Office. Questa patch "critica"
sistema due problemi di sicurezza presenti in Excel e PowerPoint (Office 2000,
Office XP, Office 2003, Project 2000, Project 2002, Visio 2002, Office 2004
per Mac).
MS07-016: Aggiornamento cumulativo per Internet Explorer.
Questo aggiornamento, classificato come "critico", sostituisce il
precedente bollettino MS06-072 e risolve diverse vulnerabilità di sicurezza
individuate in Internet Explorer 7.0, 6.0 e 5.01 (la patch non riguarda la versione
di Internet Explorer 7.0 integrata in Windows Vista).
Sebbene tutti gli aggiornamenti di questo mese siano da considerare come importanti,
proponiamo una tabella riassuntiva stilata dall’"Internet Storm Center"
(ISC) di SANS che riassume il livello di criticità in ambito client e
server per ciascun bollettino.
Microsoft ha rilasciato in contemporanea anche la versione aggiornata del suo
Strumento di rimozione malware.
