Secondo martedì del mese, appuntamento con il consueto Patch Tuesday di Microsoft: la gragnola di aggiornamenti cucinati da Redmond per questo giugno comprende sette bollettini di sicurezza indirizzati a correggere 27 diverse vulnerabilità, con particolare attenzione in merito al rinnovato meccanismo di update anti-Flame.
I bollettini coinvolgono tutte e tre le versioni di Windows attualmente supportate da Microsoft (XP, Vista, 7), il framework dotNET, Desktop Remoto, Lync, Dynamic AX e altro. Per Internet Explorer c’è una patch cumulativa (valida anche per IE10 sulla Consumer Preview di Windows 8) che chiude le falle sfruttate dagli exploit dimostrati nella più recente edizione dell’evento Pwn2Own – in questo caso Microsoft arriva buon ultima dopo Google e Mozilla.
Il Patch Tuesday chiude poi un buco (classificato come critico) nella funzionalità Desktop Remoto, potenzialmente sfruttabile per eseguire codice da remoto. Altrettanto “critica” è la falla rattoppata nel framework dotNET, mentre i restanti 4 aggiornamenti sono indicati come “importanti”.
Resta ancora “a piede libero” una falla nei servizi core di XML (inclusi in tutte e tre le versioni di Windows), utilizzabile in congiunzione con Internet Explorer o i file di documenti di Office (2003 e 2007) per eseguire malevolo codice da remoto tramite la visualizzazione di dati in formato XML su siti web contraffatti. Google ha provveduto ad avvertire Microsoft del fatto che la falla è già attivamente sfruttata dai cyber-criminali, mentre da Redmond dicono di essere al lavoro per chiuderla e nel mentre consigliano l’applicazione di un fix temporaneo .
Ultima ma non ultima novità del Patch Tuesday di giugno è un nuovo meccanismo di aggiornamento per i sistemi operativi e i prodotti Microsoft, pensato per inibire attacchi ai certificati di autenticazione simili a quello (riuscito) di Flame : ora l’updater controlla giornalmente (in automatico) la lista dei certificati considerati validi, e marca subito come “invalidi” tutti quei certificati dotati di caratteristiche di sicurezza insufficienti (chiavi crittografiche RSA lunghe meno di 1024 bit).
Alfonso Maruccia