Il prossimo martedì si prospetta un giorno particolarmente impegnativo per gli amministratori di sistema. In quella data Microsoft ha pianificato la pubblicazione di ben 11 bollettini di sicurezza relativi a Windows (9), Office (2) ed Exchange (1), Adobe prevede il rilascio di un security update per Reader e Acrobat, e Oracle rilascerà svariati hotfix per i suoi prodotti di classe enterprise, inclusi quelli marchiati Sun.
Le versioni di Windows interessate dagli imminenti bollettini di Microsoft saranno tutte quelle attualmente supportate, da Windows 2000 a Windows 7 e 2008 R2, e altrettanto sarà per Exchange. Per quanto riguarda invece Office, le uniche due applicazioni che verranno patchate sono Publisher e Visio (tutte le versioni supportate).
Tra le falle che Microsoft correggerà martedì vi sono anche quelle già trattate negli advisory 981169 e 977544 : la prima riguarda VBScript, ed è nota soprattutto per il fatto di essere innescata attraverso il tasto F1; la seconda riguarda il protocollo di rete SMB, e può essere utilizzata esclusivamente per attacchi di denial of service.
Per altri dettagli si rimanda al Microsoft Security Bulletin Advance Notification for April 2010 e a questo post del NonSoloSecurity Blog di Feliciano Intini, responsabile sicurezza di Microsoft Italia.
Martedì sarà giorno di hotfix anche per Adobe , che ha programmato la correzione di alcune serie falle di sicurezza nelle versioni 8.x e 9.x di Reader e Acrobat per Windows, Mac OS X e Unix. Al momento non è dato sapere se le prossime patch risolveranno anche la debolezza segnalata la scorsa settimana dall’esperto di sicurezza Didier Stevens.
Ciò che è noto è che in concomitanza con il prossimo security update Adobe introdurrà un nuovo meccanismo di aggiornamento per Reader e Acrobat che, similmente a quello di Google Chrome, scaricherà e installerà automaticamente gli aggiornamenti di sicurezza senza alcun intervento da parte dell’utente.
Il nuovo sistema di aggiornamento automatico, che sarà disponibile esclusivamente per Windows e Mac OS X, potrà essere disattivato dall’utente in qualsiasi momento, oppure impostato per scaricare esclusivamente gli aggiornamenti senza installarli.
Come anticipato, anche Oracle ha scelto il prossimo martedì per rilasciare alcuni aggiornamenti di sicurezza : tali update correggeranno 16 falle in diversi prodotti server della neoacquisita Sun , tra i quali Solaris, Sun Cluster, Sun Convergence e Sun Ray.
Mentre in precedenza Sun rilasciava gli hotfix ogniqualvolta lo riteneva necessario, Oracle ha ora esteso ai prodotti della ex rivale il suo ormai tradizionale ciclo trimestrale delle patch di sicurezza. In base a questo ciclo il prossimo martedì Oracle distribuirà anche le patch per i suoi database e application server , correggendo complessivamente 47 vulnerabilità.
Alessandro Del Rosso