Redmond (USA) – C’è chi lo ha definito, senza troppo esagerare, il “martedì grasso” delle patch made in Redmond . Nella serata di martedì Microsoft ha infatti pubblicato ben undici bollettini di sicurezza (uno in meno rispetto al previsto): di questi, sei sono stati classificati come “critici”, dunque con il massimo grado di rischio, ed i restanti cinque come “importanti”. Per la cronaca, il massimo numero di bollettini pubblicati da Microsoft in una sola volta è dodici.
I bollettini di febbraio, di cui qui Microsoft fornisce un riepilogo (in italiano), correggono complessivamente 17 vulnerabilità relative a Windows, Office, Visual Basic, Internet Explorer, Active Directory, Internet Information Server e Works. Le falle considerate da BigM di più seria entità riguardano in particolare componenti quali WebDAV Mini-Redirector, OLE Automation, Word, Publisher, Office e IE. Potenzialmente, se sfruttate con successo queste debolezze possono consentire ad un aggressore di eseguire del codice a distanza e di prendere il pieno controllo di un sistema remoto.
Feliciano Intini, chief security advisor di Microsoft Italia, spiega nel proprio blog che di tutte le vulnerabilità corrette questa settimana solo una era già nota prima del rilascio dei bollettini : si tratta di quella descritta nel documento MS08-007 , relativa a OLE Automation, che Intini considera la più seria del lotto . La falla interessa tutte le versioni di Windows ancora supportate, nonché Office 2004 per Mac e Visual Basic 6.0, e potrebbe essere innescata da una pagina Web contenente uno script maligno.
In questa tabella redatta da SANS Institute viene considerato di particolare urgenza anche l’aggiornamento cumulativo per IE descritto nel bollettino MS08-010 : questo corregge quattro diverse vulnerabilità del browser di Windows, inclusa la versione 7, ed anche in questo caso un aggressore potrebbe sfruttare uno o più di questi bug creando una pagina web appositamente predisposta. Microsoft consiglia di applicare l’aggiornamento “immediatamente” .
“Nonostante il numero significativo di bollettini, l’analisi complessiva delle diverse vulnerabilità permette di valutare lo scenario di rischio come non particolarmente preoccupante”, ha dichiarato Intini in questo post . “Significativo il riscontro delle versioni più recenti dei prodotti che risultano non interessati, o interessati in modo minore, dalle varie vulnerabilità: in particolare Office 2007 non interessato da alcuna vulnerabilità, mentre Windows Vista SP1 e Windows Server 2008 già irrobustiti rispetto a queste problematiche”.
Sul già citato blog di Intini è possibile trovare, oltre ad una sintesi dei bollettini di sicurezza di febbraio, anche matrici sinottiche che aiutano gli amministratori di sistema a meglio comprendere rischi e vettori d’attacco associati a ciascuna falla.
Negli scorsi giorni Microsoft ha distribuito anche due aggiornamenti per Windows Vista non relativi alla sicurezza : il KB943899 , che secondo BigM “consente di ottenere maggiore affidabilità e migliori prestazioni in diverse situazioni”; e il KB947172 , un update cumulativo per il Media Center di Windows Vista che risolve un problema nella visione della TV su Xbox 360.
Microsoft ha anche cominciato a distribuire attraverso Windows Update la coppia di aggiornamenti KB937287 e KB938371 , entrambi requisiti necessari per l’installazione dell’imminente Service Pack 1 di Vista .