Patch di aprile, Microsoft chiude una falla critica di Office

Nelle serata di ieri Microsoft ha distribuito le patch per il mese di aprile. I sei bollettini di sicurezza risolvono complessivamente 11 vulnerabilità individuate in Windows, Internet Explorer, Office e altri software minori. Il bug più pericoloso è quello relativo alla suite di produttività: un malintenzionato può eseguire codice remoto sul computer della vittima utilizzando un allegato di posta elettronica in formato RTF.

La patch che gli utenti dovrebbero installare al più presto è identificata con il numero MS12-027. Questo aggiornamento risolve una vulnerabilità zero-day scoperta nelle versioni a 32 bit di Office 2003, 2007 e 2010 che riguarda il controllo ActiveX MSCOMCTL.OCX. Il bug può consentire l’esecuzione di codice in modalità remota se un utente visita un sito Web appositamente predisposto o se apre un documento RTF allegato ad un messaggio di posta elettronica. Con la patch Microsoft ha chiuso la falla, disattivando il controllo ActiveX e sostituendolo con una nuova versione.

Il secondo bollettino critico, identificato con il numero MS12-023, riguarda invece le versioni 6, 7, 8 e 9 di Internet Explorer. La protezione risolve 5 vulnerabilità e, anche in questo caso, è possibile eseguire codice remoto se l’utente visualizza una pagina Web appositamente predisposta. La patch MS12-025 risolve una vulnerabilità individuata nel framework .NET, mentre la MS12-024 chiude una falla critica scoperta in Windows. Anche se Microsoft non lo indica esplicitamente, questo bollettino interessa anche Windows 8 Consumer Preview.

Gli ultimi due bollettini (MS12-026 e MS12-028), classificati come importanti, risolvono vulnerabilità individuate in Office, Works e Microsoft Forefront United Access Gateway. Come sempre, l’installazione può essere effettuata in modo automatico o manualmente tramite i servizi Windows Update o Microsoft Update.