I bollettini di sicurezza pubblicati da Microsoft per il mese di febbraio sono quattro, e in totale correggono otto vulnerabilità relative a Internet Explorer, Exchange Server, SQL Server e Office Visio.
I due bollettini classificati da Microsoft con il più elevato grado di importanza sono l’ MS09-002 , riguardante IE, e l’ MS09-003 , riguardante invece Exchange Server. Il primo è un aggiornamento di sicurezza cumulativo per il browser di Windows che risolve due vulnerabilità critiche , entrambe potenzialmente innescabili visitando una pagina web contenente del codice maligno. I due bug affliggono esclusivamente IE7, ma il bollettino contiene anche la precedente patch cumulativa di dicembre ( MS08-073 ) e la patch straordinaria del 17 dicembre ( MS08-078 ).
Il secondo bollettino critico tratta invece due vulnerabilità che interessano tutte le versioni ancora supportate di Exchange Server. La più grave delle due falle riguarda l’esecuzione di codice a distanza nel contesto di sicurezza del service account di Exchange, ed è innescata dall’elaborazione di un messaggio malformato nel formato TNEF (Transport Neutral Encapsulation). L’altra vulnerabilità può invece essere utilizzata per lanciare attacchi di denial of service.
Gli altri due bollettini, l’ MS09-004 e l’ MS09-005 , sono invece entrambi classificati come “importanti”. Il primo tratta di una vulnerabilità in SQL Server, ed in particolare nelle versioni 2000 e 2005, che potrebbe consentire ad un aggressore di eseguire del codice a distanza a fronte di una query con un parametro malformato inviata alla extended store procedure sp_replwritetovarbin . Microsoft sottolinea come la vulnerabilità non possa essere sfruttata in modo anonimo, ma necessita di un account valido o di un attacco di SQL Injection. Questa vulnerabilità era già stata resa nota lo scorso mese con la pubblicazione di questo advisory .
L’ultimo bollettino è relativo a tutte le versioni attualmente supportate di Office Visio, e descrive tre diverse falle che possono consentire l’esecuzione di codice in modalità remota mediante l’apertura di un documento Visio malformato.
Secondo SANS Institute, che come tradizione ha pubblicato una tabella sinottica dei bollettini Microsoft di questo mese, attualmente l’unica vulnerabilità per cui esiste un exploit pubblico è quella relativa a SQL Server.
Maggiori informazioni sulle falle appena corrette da Microsoft si possono reperire sul blog di Feliciano Intini, chief security advisor di Microsoft Italia.