Microsoft rilascia 11 patch per 17 bug

Sono undici le patch rilasciate da Microsoft nel tradizionale aggiornamento mensile per i suoi sistemi operativi e per gli applicativi. Complessivamente, l’aggiornamento risolve 17 falle che, nella maggior parte dei casi, avrebbero potuto consentire accessi non autorizzati ai personal computer e l’esecuzione di stringhe di codice maligno. Sei delle undici patch sono state catalogate come «critiche» da Microsoft e dovrebbero quindi essere installate il prima possibile dagli utenti. Le rimanenti cinque sono invece valutate come “importanti”.

I sei aggiornamenti critici riguardano i sistemi operativi Windows, senza sostanziali distinzioni, Internet Explorer e il pacchetto di applicativi Office. Nello specifico, una patch corregge una vulnerabilità in WebDav Mini-Redirector, client di sharing protocol, che a causa di un errore avrebbe potuto consentire l’esecuzione di codice non autorizzato, consentendo l’installazione di applicativi e modifiche ai dati residenti nel computer attaccato.

Una correzione in OLE Automation impedisce a utenti malintenzionati di accedere a un pc attraverso una pagina Web appositamente modificata. Il bug risolto da questa patch interessa non solo Windows, ma anche Visual Basic e Office. Ed è proprio il pacchetto di applicativi per l’ufficio a essere oggetto di numerosi aggiornamenti per la sicurezza. Una patch per Word evita che un file di testo appositamente modificato possa permettere l’esecuzione di codice non autorizzato. L’obiettivo poteva anche essere raggiunto con il semplice invio di un file di Word, modificato, come allegato a un normale messaggio di posta elettronica. Un ulteriore aggiornamento per Office ripara una falla simile anche in Publisher, il software per la creazione di piccole pubblicazioni a livello domestico o professionale. La quarta patch per Office risolve un problema di sicurezza generalizzato, che interessava la quasi totalità del pacchetto di applicativi per l’ufficio prodotto da Microsoft.

Chiude la carrellata degli aggiornamenti critici di febbraio una patch di Internet Explorer, il browser prodotto da Redmond. L’update corregge quattro bug dell’applicativo che avrebbero potuto consentire l’esecuzione di codice non autorizzato. Come spesso accade, Microsoft non ha rilasciato particolari dettagli sugli aggiornamenti di sicurezza per il suo browser. La patch corregge una vulnerabilità riscontratata in ActiveX che influenza la sicurezza per alcuni utenti di Visual FoxPro. Il bug era già noto e non dovrebbe interessare un numero consistente di computer.

Gli aggiornamenti segnalati come “importanti” riguardano invece Active Directory, alcune funzioni di Windows TCP/IP e di Internet Information Service (IIS) per i server Web. Un ulteriore aggiornamento minore per Office/Works corregge, infine, una vulnerabilità riscontrata nell’apertura di alcuni file con estensione “.wps”, che potrebbe consentire l’esecuzione di codice non autorizzato dagli utenti.

La nuova serie di aggiornamenti dimostra come le falle e i bug lato client siano molto più ad alto rischio rispetto alle vulnerabilità lato server. Non ha dubbi in proposito Andrew Storms, responsabile della sicurezza per la società nCircle: «Si poteva immaginare che le vulnerabilità per IIS e Active Directory potessero essere le più rischiose poiché sono alla base di molte imprese e forniscono servizi molto più critici. Ma con le patch di questo mese, la scommessa migliore per gli hacker è costituita dagli attacchi lato client».

Come al solito è consigliabile l’aggiornamento tramite Windows Update piuttosto che attraverso l’installazione delle singole patch manualmente, così da evitare l’errore umano ed avere garantita la massima sicurezza per il proprio sistema.