QR code per la pagina originale

Patch Day di settembre: 4 bollettini critici

Il Patch Day di settembre porta con sé quattro patch per 8 vulnerabilità critiche che coinvolgono Windows Media Player, Windows Media Encoder, Microsoft Office e Microsoft Windows GDI+ (graphics device interface)

,

Puntuale come ogni mese, arriva il Patch Day di Microsoft portando con sé quattro patch indirizzate a otto vulnerabilità critiche che coinvolgono Windows Media Player, Windows Media Encoder, Microsoft Office e Microsoft Windows GDI+ (graphics device interface).

Il primo bollettino critico MS08-052 riporta cinque vulnerabilità che affliggono Microsoft Windows GDI+ e che permettono l’esecuzione di codice da remoto nel caso un utente tentasse di visualizzare tramite un software “contaminato” o siti Web malevoli una immagine creata opportunamente per ottenere l’exploit. Le vulnerabilità, critiche sotto Windows XP, Windows Server 2003, Vista e Windows Server 2008, si differenziano per il tipo di immagine utilizzata come vettore di attacco (VML, EMF, GIF, WMF o BMP).

Il secondo bollettino critico MS08-053 espone una vulnerabilità insita in Windows Media Encoder 9, più precisamente all’interno del controllo ActiveX WMEX.DLL installato da Windows Media Encoder 9 Series, ed in grado di permettere l’esecuzione di codice arbitrario da remoto nel caso un utente acceda a pagine Web create con intenti malevoli. La vulnerabilità risulta critica sotto Microsoft Windows 2000, Windows XP e Windows Vista.

Il terzo bollettino critico MS08-054 appare relativo ad un bug evidenziato in Windows Media Player 11 ed in grado di permettere l’esecuzione di codice da remoto nel caso un utenti effettui lo streaming di un file audio opportunamente creato da un server Windows Media. La debolezza riguarderebbe il modo con cui il client gestisce le playlist server-side (SSPL) e non sarebbe stata riscontrata nelle versioni precedenti del player multimediale.

L’ultimo bollettino critico MS08-055 riporta una vulnerabilità in Microsoft Office e più precisamente in Microsoft Office OneNote 2007. La falla potrebbe permettere l’esecuzione di codice da remoto nel caso un utente cliccasse su di un URL opportunamente confezionata e associato a OneNote. Una volta preso possesso del sistema, un utente malintenzionato potrebbe installare al suo interno programmi, visualizzare, modificare o eliminare dati, oppure creare nuovi account con tutti i privilegi.

Notizie su: