Redmond (USA) – Puntuale con il suo tradizionale ciclo mensile di aggiornamenti per la sicurezza, Microsoft ha pubblicato sette bollettini relativi ad un totale di 10 vulnerabilità di sicurezza in Windows, Office, Internet Explorer e DirectX.
Le falle considerate da Microsoft di più seria entità, e classificate come “critiche”, sono relative allo stack Bluetooth di Windows XP e Vista ( MS08-030 ), ad Internet Explorer 5, 6 e 7, ( MS08-031 ) e alla tecnologia DirectX 7, 8, 9 e 10 inclusa in tutte le versioni di Windows ( MS08-033 ).
Il rischio comune a tutte queste debolezze è che un aggressore riesca ad approfittarne per eseguire del codice a distanza: nel caso di IE, l’innesco della falla potrebbe avvenire attraverso una pagina web appositamente creata; nel caso di DirectX, il codice maligno potrebbe essere incluso in un file multimediale. Più complesso l’eventuale exploit per la vulnerabilità relativa a Bluetooth, che richiede l’invio, da parte di un aggressore, di un elevato numero di richieste SDP (Service Discover Protocol) verso un PC con Bluetooth attivato e a distanza di rilevamento.
Altri tre bollettini sono classificati come “importanti”, e riguardano vulnerabilità nel Windows Internet Name Service (WINS) di Windows 2000 Server e Windows Server 2003 ( MS08-034 ), nel componente Active Directory di Windows 2000 Server, Windows XP Professional, Windows Server 2003 e Windows Server 2008 ( MS08-035 ), e nel protocollo PGM (Pragmatic General Multicast) implementato in tutte le versioni ancora supportate di Windows, dalla XP alla 2008 ( MS08-036 . Nel primo caso, un utente malintenzionato locale potrebbe sfruttare il problema per elevare i propri privilegi, negli altri due casi un aggressore potrebbe lanciare attacchi di tipo denial of service volti a impedire al sistema interessato di rispondere alle richieste.
L’ultimo bollettino, l’ MS08-032 , descrive una falla di rischio moderato relativa all’API del motore di sintesi vocale incluso in tutte le versioni supportate di Windows. “La vulnerabilità – si spiega nel bollettino – può consentire l’esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer e ha attivato la funzionalità di riconoscimento vocale di Windows”. Questo aggiornamento include inoltre un kill bit per il software prodotto da BackWeb.
Il riepilogo in italiano dei bollettini Microsoft di giugno è qui , mentre in questo post SANS Institute ha pubblicato una tabella riassuntiva che cataloga la gravità delle falle in base al tipo di sistema, client o server.
Microsoft non è riuscita ad inserire in questa tornata di aggiornamenti la promessa patch per la cosiddetta carpet bomb , un serio problema di sicurezza generato dall’interazione tra Safari e Windows.