Come anticipato lo scorso venerdì, nella tarda serata di ieri Microsoft ha pubblicato quattro bollettini di sicurezza che correggono, in totale, cinque vulnerabilità.
Due bollettini, l’ MS10-042 e l’ MS10-043 , risolvono due falle pubbliche rispettivamente legate all’Help and Support Center di Windows XP/Server 2003 e al Canonical Display Driver alla base di Windows Aero. La prima è quella di gran lunga più urgente, perché sfruttata in un crescente numero di attacchi.
Sebbene il bug dell’Help and Support Center interessi anche Windows Server 2003, Microsoft afferma che gli exploit in circolazione non sono efficaci con questo sistema operativo.
Per quanto riguarda invece il problema relativo al Canonical Display Driver, Microsoft sottolinea come questo interessi esclusivamente le edizioni x64 di Windows 7 e Windows Server 2008 R2, e aggiunge che sfruttare il bug per riuscire ad eseguire del codice “è improbabile per via della memory randomization”. BigM fa infine notare come in Windows Server 2008 R2 l’interfaccia Aero non sia attiva di default.
Il terzo bollettino classificato da Microsoft con il massimo grado di rischio è l’ MS10-044 , e riguarda alcune vulnerabilità in certi controlli ActiveX di Office Access. Per mezzo di un file di Office o di una pagina web maligni, un aggressore potrebbe riuscire ad eseguire del codice a sua scelta.
L’ultimo bollettino, l’ MS10-045 , è classificato “important”, e risolve una vulnerabilità legata alle edizioni 2002, 2003 e 2007 di Office Outlook. Anche in questo caso un aggressore potrebbe sfruttarla inducendo un utente ad aprire un file maligno allegato ad una email.
Da sottolineare come nella consueta tabella sinottica pubblicata dall’Internet Storm Center tutti i bollettini di questo mese vengano considerati “critical”, sia lato client che lato server: la classe di rischio del bollettino MS10-042 viene addirittura definita, per i client, con l’esplicativa locuzione “PATCH NOW!”.
Una sintesi dei bollettini di luglio è riportata in questo post del Microsoft Security Response Center insieme alle tabelle relative al Severity and Exploitability Index a alla Deployment Priority. Si veda anche il post in italiano di Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia.
Alessandro Del Rosso