Come preannunciato lo scorso venerdì, nella tarda serata di ieri Microsoft ha pubblicato 10 bollettini di sicurezza che, nel complesso, correggono 34 vulnerabilità in Windows, Internet Explorer, Office, SharePoint Services e MS.NET Framework. Dei 10 bollettini, tre sono classificati come “critical” e gli altri sette come “important”: due dei tre aggiornamenti più urgenti interessano Windows, mentre il terzo IE.
Come già anticipato, i bollettini di giugno correggono anche le falle di SharePoint e IE di cui Microsoft aveva dato notizia negli advisory 983438 e 980088 . Nel primo caso si tratta di tre vulnerabilità di tipo cross-site scripting (XSS) in Windows SharePoint Services 3.0 e Office SharePoint Server 2007, ora risolte con il bollettino MS10-039 , nel secondo caso di una debolezza di IE nella gestione degli URI di tipo “file://”, che trova soluzione nell’aggiornamento cumulativo MS10-035 (classificato “critical”).
Gli altri due bollettini con grado di rischio massimo sono l’ MS10-034 , che si occupa di disattivare alcuni controlli ActiveX pericolosi (sia di Microsoft che di terze parti), e l’ MS10-033 , che corregge due vulnerabilità nel motore di decodifica multimediale di Windows e, in particolare, nei componenti Windows Media Encoder 9, Windows Media Format Runtime 9.x e 11, Quartz.dll (DirectShow) e Asycfilt.dll (COM). A seconda del componente o della sua versione, questa vulnerabilità può interessare varie versioni di Windows, dalla 2000 alla 7.
Gli altri bollettini riguardano alcune vulnerabilità nei driver kernel-mode di Windows sfruttabili per l’elevazione dei privilegi ( MS10-032 ), due falle in Office relative alla convalida COM e sfruttabili per l’esecuzione di codice a distanza ( MS10-036 ), un bug nel driver OpenType Compact Font Format utilizzabile per l’elevazione dei privilegi, una debolezza in Internet Information Services (IIS) potenzialmente sfruttabile per l’esecuzione di codice a distanza ( MS10-040 ) e una vulnerabilità nel MS.NET Framework che potrebbe consentire ad un malintenzionato di alterare, senza farsene accorgere, le informazioni contenute in un file XML firmato ( MS10-041 ).
Discorso a parte merita il bollettino MS10-038 , il quale corregge 14 vulnerabilità “importanti” in Office Excel, inclusa la versione 2007. La maggior parte di queste debolezze consiste nella corruzione della memoria o dell’object stack, e possono essere potenzialmente sfruttate attraverso la creazione di un file Excel ad hoc che, una volta aperto, causa il crash dell’applicazione ed esegue del codice con gli stessi privilegi dell’utente.
Microsoft afferma di non essere al corrente di attacchi che sfruttino una delle vulnerabilità appena corrette. Ciononostante la maggior parte di queste falle ha un Exploitability Index pari a 1 e, secondo questa tabella sinottica dell’Internet Storm Center, esistono già degli exploit sia per il problema di SharePoint che per quello del MS.NET Framework.
Come si è fatto notare la scorsa settimana, questa volta Windows 7 figura tra i prodotti vulnerabili di tutti i bollettini riguardanti Windows: segno forse che l'”effetto novità” comincia a scemare. Nonostante ciò, la più recente versione del sistema operativo di Microsoft offre generalmente un livello di resistenza maggiore agli attacchi, mitigando – in molti casi – il grado di rischio legato ad una vulnerabilità.
Per quanto riguarda invece le recenti vulnerabilità scoperte in Flash e Adobe Reader/Acrobat , la società californiana ha fatto sapere di essere pronta a rilasciare un fix per Flash Player 10.x domani (giovedì). Il rilascio della patch per Adobe Reader e Acrobat 9.x è stato invece fissato per il 29 giugno, giorno in cui Adobe anticiperà il rilascio degli aggiornamenti di sicurezza trimestrali precedentemente programmati per il 13 luglio.
Alessandro Del Rosso