Patch day, pronti 8 aggiornamenti

Qualcosa accomuna le decine di milioni di utenti Windows di tutto il mondo: il secondo martedì del mese. Come da tradizione, anche ad aprile Microsoft giunge puntuale all’appuntamento con gli aggiornamenti per i suoi sistemi operativi e per i suoi software. Dieci update per risolvere altrettanti malfunzionamenti e falle di sicurezza, riscontrate nelle ultime settimane dagli sviluppatori di Redmond.

Gli aggiornamenti etichettati come critici da Microsoft interessano principalmente Windows. Un bug in GDI (Graphic Device Interface) avrebbe potuto consentire l’esecuzione di codice non autorizzato all’apertura di file immagine EMF o WMF appositamente modificati. Una volta entrato nel sistema, un utente malintenzionato avrebbe potuto eseguire gli applicativi e installarne di nuovi, magari per sottrarre documenti e informazioni riservate. Una patch risolve, invece, un grave problema di sicurezza riscontrato in VBScript e JScript che avrebbe consentito l’esecuzione di codice arbitrario all’insaputa del proprietario del dispositivo.

Un ulteriore aggiornamento provvede a una grave falla in un controllo ActiveX legato a Yahoo Jukebox. L’update rimuove i componenti che avrebbero potuto consentire un’intrusione nel sistema, ma non condiziona la funzionalità del programma fornito da Yahoo, che ha comunque provveduto a rilasciare una nuova versione del suo Jukebox. Una patch cumulativa interviene poi su Internet Explorer per risolvere talune falle che rendevano il browser particolarmente soggetto all’esecuzione di codice non autorizzato attraverso pagine Web appositamente create per ingannare gli utenti.

L’ultimo aggiornamento indicato come critico riguarda, invece, una funzionalità di Microsoft Office. Anche in questo caso, una falla nell’applicativo Microsoft Project avrebbe potuto consentire a un utente malintenzionato di prendere il controllo del PC con un semplice file artatamente modificato.

Gli update secondari, etichettati come «importanti», interessano principalmente Windows. Una patch risolve un errore nella gestione dei DNS client, scongiurando la possibilità di redirect non autorizzati del traffico Internet. Il secondo aggiornamento elimina una vulnerabilità riscontrata nel Kernel di Windows e legata ai settaggi dei privilegi utente/amministratore. L’ultima patch è nuovamente per Office e risolve una falla in Visio, applicativo utilizzato per la costruzione di diagrammi. L’update scongiura una possibile infrazione del sistema resa possibile da un file appositamente modificato per eseguire codice non autorizzato.

Con gli aggiornamenti di aprile, Microsoft raggiunge quota 25 “Security Bulletin” dall’inizio del 2008.