Secondo i tecnici Microsoft, le patch da applicare senza indugio sono le prime due. L’uno è un aggiornamento cumulativo destinato a tutte le versioni di Internet Explorer mentre l’altro consente di sanare una lacuna di sicurezza scoperta in Internet Explorer 8.0 e 9.
In occasione del “patch day” di maggio, Microsoft ha rilasciato dieci aggiornamenti di sicurezza
destinati alla risoluzione di alcuni bug presenti in Windows, Internet
Explorer, .NET Framework, Office, Windows Essentials e Lync.
Dei dieci bollettini di sicurezza, solamente due sono classificati come “critici” mentre i restanti otto come “importanti”.
Secondo l’analisi dei tecnici Microsoft, le patch da applicare senza indugio sono le prime due (MS13-037 e MS13-038).
L’uno è un aggiornamento cumulativo destinato a tutte le versioni di
Internet Explorer mentre l’altro consente di sanare una lacuna di
sicurezza scoperta in Internet Explorer 8.0 e 9.0.
La patch MS13-039
dà invece modo di correggere il comportamento anomalo tenuto dal file
di sistema HTTP.sys che, su Windows 8, Windows RT e Windows Server 2012
potrebbe facilitare attacchi di tipo Denial of Service (DoS).
Altrettanto importante il bollettino MS13-040
che si rivolge agli utenti di diverse versioni del Framework .NET.
Installandolo si eviterà che un utente malintenzionato possa modificare
il contenuto di un file XML ed accedere così a funzionalità cruciali,
come se fosse un utente precedentemente autenticato.
Molti dei
restanti bollettini debbono essere invece applicati dagli utenti di
Microsoft Office e del pacchetto Windows Essentials in modo da evitare
l’esecuzione di codice potenzialmente dannoso, semplicemente aprendo un
documento maligno, o la condivisione di informazioni personali.
L’ultima patch (MS13-046)
consente di scongiurare l’acquisizione di privilegi utente più elevati
da parte di un aggressore andando a modificare i driver kernel-mode del sistema operativo. L’aggiornamento interessa tutte le versioni di Windows.
Nell’ambito della loro consueta analisi mensile, gli esperti dell’Internet Storm Center
(SANS ISC) indicano la patch MS13-038 come quella a più elevata
criticità in ambito client. Un gradino più sotto – sebbene pur sempre
critiche – vengono posti i bollettini MS13-037, MS13-041, MS13-042,
MS13-043 e MS13-045. Lato server, ISC non definisce “critico” alcun
bollettino: tutte le patch di questo mese vengono valutate come
“importanti”.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 11 giugno 2013.
