Redmond (USA) – Facendo seguito alla nuova politica degli aggiornamenti di sicurezza annunciata la scorsa settimana, che prevede il rilascio delle patch su base mensile e la periodica disponibilità di collezioni cumulative di hotfix, Microsoft ha pubblicato cinque nuovi bollettini di sicurezza, relativi a cinque vulnerabilità di Windows e due di Exchange Server, e ha rilasciato un nuovo pacchetto Rollup per Windows XP.
Tutti e cinque i bug di sicurezza relativi a Windows, tra cui quattro classificati come “critical” e uno come “important”, potrebbero consentire ad un cracker o ad un worm di eseguire del codice da remoto sul sistema vulnerabile e, eventualmente, prenderne il controllo. Le falle sono descritte negli advisory numero MS03-041 , MS03-042 , MS03-043 , MS03-044 , MS03-045 e interessano rispettivamente il sistema di autenticazione dei controlli ActiveX ( Authenticode ), il controllo ActiveX Local Troubleshooter ( tshoot.ocx ), il sistema di messaggistica utilizzato dal servizio Alert di Windows, la funzione Help and Support Center (Guida in linea e supporto tecnico), una funzione chiamata dai controlli ListBox e ComboBox. Quasi tutte le vulnerabilità interessano Windows NT, 2000, XP, 2003 Server, due anche Windows Me e una esclusivamente Windows 2000.
Le debolezze descritte nei bollettini MS03-046 e MS03-047 riguardano entrambe la versione 5.5 di Exchange Server e, la prima, anche la versione 2000. Entrambe possono consentire l’esecuzione di codice da remoto, ma mentre la prima è stata valutata di rischio moderato, la seconda è stata classificata con il massimo livello di pericolosità.
Le singole patch possono essere scaricate direttamente dai link forniti nei bollettini di sicurezza o attraverso il Windows Update.
In contemporanea al rilascio dei sette nuovi bollettini di sicurezza Microsoft ha reso disponibile l’ Update Rollup 1 per Windows XP, un pacchetto cumulativo contenente 22 fra i più importanti aggiornamenti di sicurezza rilasciati negli ultimi 14 mesi per l’ultima versione desktop di Windows. Questo tipo di aggiornamento , che Microsoft aveva messo in un cantuccio a favore dei propri servizi di aggiornamento automatici, come il Windows Update, avrà il compito di proteggere gli utenti durante quel lungo arco di tempo che tipicamente separa il rilascio di un service pack da quello successivo.
Con questo pacchetto Rollup, Microsoft vuol anche rispondere a tutti quelli che in questi mesi hanno chiesto a gran voce strumenti di gestione delle patch più semplici e il rilascio di service pack in tempi più ravvicinati: il Service Pack 2 per Windows XP è un caso emblematico visto che ha subito continui ritardi e, ad agosto, il big di Redmond ne ha annunciato l’uscita per la metà del 2004 . Presso il Citrix iForum in corso un dirigente di Microsoft ha tuttavia ritoccato nuovamente le previsioni di uscita, questa volta in positivo, affermando che il prossimo service pack sarà rilasciato entro la fine di quest’anno. Si aprono le scommesse.