QR code per la pagina originale

Microsoft, primo Patch Tuesday del 2013

Martedì prossimo Microsoft rilascerà 7 patch per risolvere 12 vulnerabilità, tra le quali non figura però quella individuata in Internet Explorer 6/7/8.

,

Il prossimo 8 gennaio Microsoft rilascerà le prime patch di sicurezza del 2013. Il nuovo anno inizia con sette bollettini (due critici e cinque importanti) che risolvono 12 vulnerabilità. I software coinvolti nel Patch Tuesday di gennaio sono i sistemi operativi Windows e la suite Office, oltre ad alcune applicazioni server e strumenti di sviluppo. Cinque dei sette aggiornamenti riguardano il recente Windows 8. Nessuna patch invece per la vulnerabilità zero-day scoperta nelle vecchie versioni di Internet Explorer, nonostante sia in aumento il numero di exploit in circolazione.

Il 29 dicembre scorso Microsoft ha pubblicato un avviso di sicurezza relativo alla vulnerabilità individuata in Internet Explorer 6, 7 e 8 (le versioni 9 e 10 sono immuni). Sfruttando un bug del browser, un malintenzionato potrebbe eseguire codice arbitrario sul computer dell’utente che visita un sito compromesso. L’azienda di Redmond ha rilasciato solo un Fix It, in quanto sarebbero in circolazione pochi exploit. In realtà, il loro numero è in aumento, come conferma la software house Avast. Se Microsoft non distribuirà una patch “out-of-band” bisognerà aspettare il Patch Tuesday del 12 febbraio. Gli utenti di Windows XP corrono i rischi maggiori, dato che non possono installare le versioni più recenti di Internet Explorer.

Tornando ai bollettini, il più interessante è il numero 2, classificato come critico e quindi relativo ad una vulnerabilità che permette l’esecuzione di codice remoto. Come sempre, Microsoft non fornisce dettagli prima della distribuzione effettiva della patch. Il problema di sicurezza riguarda però non solo i sistemi operativi Windows (tutte le versioni, da Windows XP a Windows 8), ma anche la suite Office (versioni 2003 e 2007), Expression Web, SharePoint Server, Groove Server e System Center Operations Manager.

Con un separato bollettino di sicurezza, Microsoft ha comunicato di aver revocato due falsi certificati digitali ottenuti dai cybercriminali da due sussidiarie di TurkTrust, una Certication Authority turca. Questi certificati potrebbero essere utilizzati per eseguire attacchi di phishing o man-in-the-middle. Microsoft ha aggiornato la Certificate Trust list (CTL) e distribuito un update per tutte le versioni di Windows che revoca la fiducia ai certificati fraudolenti.

Fonte: Microsoft • Via: The Next Web • Notizie su: