Microsoft corregge 15 vulnerabilitÓ

Rilasciate diverse patch per Windows, una sola per Vista, e per alcuni software integrati nel sistema operativo. In distribuzione anche il primo service pack per Virtual Server 2005 R2

Redmond (USA) - Nella serata di ieri Microsoft ha pubblicato sei bollettini di sicurezza, quattro dei quali classificati con il massimo grado di pericolosità, che correggono complessivamente 15 vulnerabilità in Windows, Internet Explorer, Outlook Express e Visio.

Il primo bollettino "critico" è l'MS07-031, e risolve una falla contenuta nel pacchetto di sicurezza Secure Channel (Schannel) di Windows 2000, XP e 2003: tale componente comprende le implementazioni dei protocolli di sicurezza per Internet Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Un aggressore potrebbe sfruttare la debolezza creando un sito web maligno che, quando aperto con un browser web o un'applicazione che usa SSL o TLS, inneschi il bug. Microsoft afferma che l'esecuzione di codice è possibile solo con Windows XP, mentre nel caso di Windows 2000 e 2003 la falla può al massimo causare il crash dell'applicazione.

Il bollettino MS07-035 corregge una seconda vulnerabilità critica nelle API Win32 di Windows 2000, XP e 2003 che potrebbe essere utilizzata da un cracker per elevare i propri privilegi o eseguire del codice da remoto.
Gli altri due bollettini classificati con il massimo grado di pericolosità sono l'MS07-033, che contiene un aggiornamento cumulativo per Internet Explorer, e l'MS07-034, che contiene invece un update cumulativo per Outlook Express e Windows Mail.

Il bollettino MS07-030, classificato "importante", riguarda invece una falla di Visio relativa alla gestione dei documenti. Un malintenzionato ne potrebbe approfittare per creare un documento ad hoc, che, una volta aperto, esegua del codice con gli stessi privilegi dell'utente locale.

Di rischio moderato la falla descritta nel bollettino MS07-032, l'unica riguardante Windows Vista. Si tratta di una debolezza nel componente Access Control Lists che potrebbe consentire ad un utente locale di accedere senza autorizzazione a dati e ad informazioni di registro.

Questi sono i primi bollettini di Microsoft ad adottare il nuovo schema di pubblicazione delle informazioni annunciato da BigM lo scorso mese.

Negli scorsi giorni Microsoft ha anche rilasciato il Service Pack 1 Virtual Server 2005 R2, che oltre a migliorare la stabilità del software introduce la funzionalità Volume Shadow Services, che migliora il supporto al backup e al ripristino dei dati. Una descrizione delle novità dell'SP1 si trova qui.
9 Commenti alla Notizia Microsoft corregge 15 vulnerabilitÓ
Ordina