Degli otto bollettini di sicurezza, solo tre sono classificati come “critici”; i restanti come “importanti”. Tra gli aggiornamenti più critici c’è un aggiornamento cumulativo per la protezione di Internet Explorer che permette di “tappare” ben dieci buchi presenti nel browser.
In occasione del “patch day” di novembre, Microsoft ha rilasciato otto aggiornamenti di sicurezza destinati alla risoluzione di alcuni bug presenti in Windows, Office ed Internet Explorer.
Degli otto bollettini di sicurezza, solo tre sono classificati come “critici”; i restanti come “importanti”.
Tra gli aggiornamenti più critici, da installare nell’immediato, c’è un aggiornamento cumulativo per la protezione di Internet Explorer (MS13-088) che permette di “tappare” ben dieci buchi presenti nel browser Microsoft. L’aggiornamento interessa tutte le versioni di Internet Explorer (dalla 6.0 alla recentissima versione 11).
La patch dovrebbe essere applicata da parte di tutti gli utenti, anche
da coloro che preferiscono utilizzare un browser alternativo a quello
del colosso di Redmond.
Molto importante (anche perché interessa tutte le versioni di Windows) è la patch MS13-089
che consente di scongiurare l’esecuzione di codice nocivo nel momento
in cui l’utente provasse ad aprire un file WordPad malevolo.
Anche l’aggiornamento MS13-090
interessa tutte le versioni di Windows e permette la disabilitazione di
componenti ActiveX noti per causare problemi di stabilità o di
sicurezza.
Per quanto riguarda invece le patch di importanza minore (classificate come “importanti”), MS13-091
risolve tre vulnerabilità presenti in Office che potrebbero favorire
l’esecuzione di codice dannoso aprendo un documento WordPerfect dannoso;
MS13-092 evita l’acquisizione di privilegi utente più elevati con Hyper-V in Windows Server 2012 così come in Windows 8 x64; MS13-093 evita la rivelazione di informazioni personali da parte del Windows Ancillary Function Driver; MS13-094
impedisce che la versione di Outlook presente in tutte le versioni di
Office porti all’esposizione di informazioni sensibili nel momento in
cui si apra un messaggio di posta confezionato “ad arte”. Infine,
l’aggiornamento MS13-095 risolve una vulnerabilità in Windows che potrebbe facilitare attacchi DoS (Denial of Service) nel momento in cui un servizio web utilizzasse un certificato X.509 modificato da un malintenzionato.
Microsoft ha poi provveduto a rilasciare la versione 5.6 del noto Strumento per la rimozione malware.
È
importante notare come nel “patch day” odierno non sia stato inserito
alcun aggiornamento in grado di risolvere la pericolosa vulnerabilità
recentemente scoperta in Office 2003, Office 2007, Office 2010 su
Windows XP, Windows Vista e Windows Server 2008.
Tale lacuna di sicurezza è particolarmente problematica perché potrebbe
portare all’esecuzione di codice dannoso semplicemente visualizzando un
file grafico in formato TIFF preparato da parte di un aggressore.
L’unica soluzione, almeno per il momento, consiste nell’installazione
dell’aggiornamento temporaneo (“fix”) scaricabile a questo indirizzo.
Nella sua consueta analisi mensile, l’Internet Storm Center (ISC) di SANS richiama questa volta l’attenzione degli utenti sulla patch MS13-090, considerata ad elevatissima criticità in ambito client. Valutate “critiche”, sempre lato client, le patch MS13-088, MS13-089 e MS13-091.
Per quanto riguarda le configurazioni server, tutte le patch vengono giudicate da ISC come “importanti”.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 10 dicembre 2013.