Redmond (USA) – L’appuntamento dicembrino con le patch di Microsoft ha visto la pubblicazione di sette bollettini di sicurezza, che complessivamente correggono 11 diversi bug in Windows, Internet Explorer, Outlook Express, Visual Studio e Windows Media Player.
Originariamente BigM aveva pianificato il rilascio di sei bollettini, ma all’ultimo momento è riuscita ad includere in questa tornata di patch anche una correzione per la recentissima vulnerabilità di Windows Media Player legata alla gestione dei file ASX.
Oltre alla falla ASX, il bollettino MS06-078 corregge anche una seconda debolezza di Windows Media Player, questa volta relativa alla gestione dei file in formato ASF. Come la precedente, anche questa falla è stata classificata “critica” su tutte le versioni di Windows ancora supportate.
“Un utente malintenzionato potrebbe sfruttare la vulnerabilità costruendo un file ASF appositamente predisposto per eseguire del codice quando viene aperto” ha spiegato Microsoft. I file maligni potrebbero essere inglobati in una pagina Web oppure allegati ad una e-mail.
Il bug legato ai file ASF interessa Windows Media Player 6.4, 7.1, 9 e 10, mentre quello ASX riguarda solo le versioni 9 e 10. L’ultima release del player, la 11, è immune da entrambi i problemi.
Il bollettino MS06-072 contiene invece una patch cumulativa per Internet Explorer che stucca quattro diverse falle, di cui due “critiche”, una “importante” ed una “moderata”. Le due più gravi possono consentire ad un cracker di corrompere la memoria di sistema da remoto ed eseguire del codice con gli stessi privilegi dell’utente locale. Le altre due falle potrebbero invece mettere a rischio la privacy degli utenti. Questi problemi affliggono le versioni 5.x e 6 di IE, ma non la 7 .
L’ultimo bollettino classificato “critico” è l’ MS06-073 , e descrive una vulnerabilità di Visual Studio di cui si è parlato all’inizio dello scorso mese. Il problema interessa un controllo ActiveX distribuito insieme all’edizione 2005 del noto ambiente di sviluppo e potrebbe essere sfruttata da remoto per prendere il pieno controllo di un sistema.
I bollettini con rating “importante” sono quattro , e riguardano una o più vulnerabilità nel protocollo SNMP ( MS06-074 ), nel Remote Desktop Protocol ( MS06-075 , in Outlook Express 5.5 e 6 ( MS06-076 e nel Remote Installation Service ( MS06-077 ). Microsoft ha sottolineato come sia il servizio SNMP che quello RIS non sono installati di default.
Secondo eEye Digital Security la vulnerabilità più grave delle quattro è quella relativa al servizio SNMP, perché può essere sfruttata da remoto in modo anonimo e senza alcuna interazione da parte dell’utente.
Come preannunciato, Microsoft non ha fatto in tempo ad inserire nei bollettini di dicembre una correzione per le due recenti vulnerabilità zero-day di Word .