Nella serata di ieri Microsoft ha pubblicato i due preannunciati bollettini di sicurezza di marzo e un advisory relativo ad una falla zero-day di Internet Explorer.
Entrambi i bollettini, l’ MS10-016 e l’ MS10-017 , sono classificati come “importanti”. Nonostante non si tratti del massimo grado di rischio, Microsoft sottolinea come l’ exploitability index dei due bollettini sia pari a 1: questo significa che l’emergere di un exploit funzionante è un’eventualità tutt’altro che remota.
Il bollettino MS10-016 corregge una falla in Windows Movie Maker e Microsoft Producer 2003: in entrambi i casi il bug può essere innescato dall’apertura di un progetto maligno (un file con estensione “.mswmm” per Movie Maker o con estensione “.MSProducer”, “.MSProducerZ e “.MSProducerBF” per Producer). Nel primo caso le versioni di Windows particolarmente interessate dalla debolezza sono XP e Vista, che includono rispettivamente le versioni 2.1 e 6.0 di Windows Movie Maker. Windows 7 non include alcuna versione del noto software di editing video di Microsoft, limitandosi a fornire un link per il download della versione Live, la quale non è afflitta dal problema. Windows 7 potrebbe essere interessato dalla vulnerabilità solo nel caso in cui l’utente abbia manualmente installato Windows Movie Maker 2.6, una versione di questo software scaricabile gratuitamente dal sito web di Microsoft.
Dal momento che Producer 2003 è un add-on per PowerPoint 2003 di cui Microsoft ha da tempo cessato lo sviluppo, l’azienda non ha rilasciato alcun aggiornamento per tale prodotto: in alternativa, Microsoft suggerisce agli utenti di disinstallare il software se non più utilizzato o di applicare questo Fix It per dissociare le estensioni dei file dal programma.
Il bollettino MS10-017 contiene invece le patch per sette vulnerabilità relative a Excel, tutte potenzialmente sfruttabili attraverso un file creato ad hoc. Le versioni interessate da queste debolezze sono tutte quelle attualmente supportate da Microsoft, e includono Excel 2002, Excel 2003, Excel 2007, Office 2004 for Mac, Office 2008 for Mac, Open XML File Format Converter for Mac, Office Excel Viewer e Microsoft Office Compatibility Pack.
È stato inoltre aggiornato il bollettino MS09-033 per segnalare l’aggiunta di Microsoft Virtual Server 2005 ai prodotti interessati dalla vulnerabilità.
Come anticipato, Microsoft ha rilasciato anche un nuovo advisory di sicurezza , il 981374 , per segnalare una vulnerabilità di Internet Explorer 6 e 7 già utilizzata in un numero limitato di attacchi. Il bug potrebbe essere innescato da una pagina web maligna che, una volta aperta, causa il crash del browser ed esegue del codice con gli stessi privilegi dell’utente locale.
Microsoft raccomanda per l’ennesima volta agli utenti che ancora utilizzano IE 6/7 di passare alla più recente e sicura versione 8.
Ieri Microsoft ha infine rilasciato un aggiornamento per Windows Vista, Windows 7 e Windows Server 2008 che migliora la compatibilità di questi sistemi operativi con una miriade di applicazioni e giochi meno recenti ( qui l’elenco completo).
Diverse fonti sul Web affermano che Microsoft stia già testando il primo service pack per Windows 7 , e che sia pronta a rilasciare questo aggiornamento verso la fine dell’anno. C’è persino chi afferma di aver avvistato una copia trafugata del SP1 su Internet, ma per il momento non ci sono conferme del fatto che si tratti di una versione preliminare autentica.
Alessandro Del Rosso