Redmond (USA) – I bollettini di sicurezza pubblicati da Microsoft nel secondo martedì di aprile sono otto, cinque dei quali considerati della massima gravità, e riguardano complessivamente dieci vulnerabilità di sicurezza in Windows, Office ed Internet Explorer.
I cinque bollettini di importanza più elevata descrivono vulnerabilità relative a Microsoft Project 2000, 2002 e 2003; al componente GDI (Graphics Device Interface) alla base di tutte le versioni di Windows attualmente supportate da Microsoft (sia a 32 che a 64 bit); ai motori VBScript e JScript di Windows 2000, XP e 2003; ad alcuni controlli ActiveX, tra i quali quelli usati da diverse applicazioni Microsoft e dal Yahoo! Music Jukebox; e ad IE 5, 6 e 7. In tutti i casi, queste falle possono essere potenzialmente utilizzate per eseguire del codice a distanza.
Le rimanenti vulnerabilità , classificate “important”, riguardano invece il client DNS incluso in tutte le versioni supportate di Windows tranne Server 2008 e Vista SP1; il kernel di tutte le versioni di Windows supportate; e le versioni XP, 2003 e 2007 di Microsoft Visio. Nel primo caso il bug può essere sfruttato per lanciare attacchi di spoofing , nel secondo per elevare i propri privilegi, nell’ultimo per eseguire del codice a distanza.
Un sommario dei bollettini può essere consultato qui , mentre in questo post SANS Institute ha pubblicato una tabella che mostra, discriminando tra sistemi client e server, il livello di rischio di ciascun bollettino. SANS ha avvisato del fatto che exploit dimostrativi per i bug relativi ai controlli ActiveX sono già di pubblico dominio.
Di recente la tecnologia ActiveX è tornata sotto i riflettori degli esperti di sicurezza per via di un toolkit per cracker capace di sfruttare le debolezze di sette differenti controlli ActiveX, tra i quali quelli utilizzati da Microsoft, Citrix, Macrovision, D-Link, HP, Gateway, Sony e Symantec.
Negli scorsi giorni Symantec ha scovato una falla potenzialmente seria nel Service Pack 3 per Windows XP, un aggiornamento ancora in incubazione ma atteso entro l’inizio dell’estate. Il bug, ha spiegato la celebre società di sicurezza, è contenuto nel codice di Explorer che interpreta i file di Word per estrapolarne informazioni quali autore, titolo ecc.