Sono ben 26 le vulnerabilità risolte. Sei sono classificate come critiche e riguardano sia Windows che Office
Come ogni secondo martedì del mese è tempo di patch: Microsoft questa
volta ha rilasciato 10 nuovi aggiornamenti per numerose vulnerabilità (in
totale sono 26) che riguardano Windows ed Office (non è esclusa anche la
versione 2003).
Cominciamo con le sei patch classificate con il massimo livello di severità
(importanza “critica”):
- MS06-057.
La patch risolve un pericoloso problema relativo alla shell di Windows. Una
grave “lacuna” presente nella libreria webvw.dll che fa capo al
controllo ActiveX “WebViewFolderIcon” può far sì che
visitando una pagina web “maligna”, contenente il codice in grado
di far leva sulla vulnerabilità, il sistema divenga facile preda di
aggressori remoti. Sul web è già purtroppo ampiamente diffuso
il codice exploit in grado di far danni. Chi avesse applicato patch temporanee
(non supportate in alcun modo da parte di Microsoft) rilasciate dalle varie
aziende attive nel campo della sicurezza informatica si deve assicurare di
averle disinstallate prima di applicare “la pezza” MS06-057. - MS06-058.
Mediante l’applicazione di questa patch si risolve un problema di sicurezza
scoperto in PowerPoint (versioni 2000, XP, 2003 per pc nonché Office
2004 e Office X per Mac) che può portare un malintenzionato ad assumere
il controllo completo del sistema semplicemente persuadendo l’utente ad aprire
un documento “maligno”. - MS06-059.
Risolve un problema in Microsoft Excel (versioni 2000, XP, 2003 per pc nonché
Office 2004 e Office X per Mac) simile a quello relativo a PowerPoint. - MS06-060.
Risolve un problema di sicurezza scoperto in Microsoft Word (versioni 2000,
XP, 2003 per pc, Microsoft Works, nonché Office 2004 e Office X per
Mac) simile a quello relativo a PowerPoint. - MS06-061.
La patch sistema un problema di sicurezza nei componenti chiave del sistema
che gestiscono file in formato XML (parser XML, Microsoft XML Core Services)
e che è persente in varie versioni di Windows (2000 SP4, XP, XP Professional
x64, Server 2003). - MS06-062.
Questa patch consente l’applicazione di una serie di interventi risolutivi
legati ad altrettante vulnerabilità di sicurezza nei vari componenti
della suite Office di Microsoft (Office 2000 SP3, Office XP SP3, Office 2003
SP1/SP2, Project 2000 SR1, Project 2002 SP1, Visio 2002 SP2, Office 2004 per
Mac, Office X per Mac).
Un’unica patch è stata classificata come “importante”:
- MS06-063.
La patch consente di scongiurare il pericolo che la macchina in uso possa
cadere vittima di attacchi di tipo DoS (“Denial of Service”) basati
sull’invio di messaggi di rete opportunamente modificati.
Due gli aggiornamenti indicati come d’importanza “moderata”:
- MS06-056.
Una vulnerabilità insita nel framework .NET 2.0 può favorire
attacchi di tipo cross-site scripting. - MS06-065.
L’applicazione di questa patch evita di esporsi ad attacchi remoti che facciano
leva su una vulnerabilità presente nel “Windows Object Packager”
e che potrebbe essere sfruttata inserendo particolare codice maligno in normali
pagine web (l’aggiornamento si rivolge agli utenti di Windows XP e Windows
Server 2003).
Concludiamo con l’ultima patch, contrassegnata con un livello di severità
“basso”:
- MS06-064.
Destinata ai soli sistemi Windows XP e Windows Server 2003, risolve una vulnerabilità
presente nell’implementazione TCP del protocollo IPv6 e che potrebbe esporre
ad attacchi DoS.
Oltre ai dieci bollettini di sicurezza, Microsoft ha reso disponibile anche
una versione aggiornata del suo “Strumento di rimozione malware”,
prelevabile da questa pagina.
Con il “patch day” di ottobre si conclude anche il supporto ufficiale
per Windows XP Service Pack 1: a partire da quest’oggi il colosso di Redmond
non rilascerà più aggiornamenti relativi a questa versione del
sistema operativo destinandoli esclusivamente agli utenti di Windows XP SP2.