Microsoft rilascia le prime patch del 2015

Da ieri sera è possibile scaricare le prime otto patch di sicurezza del 2015 che risolvono altrettante vulnerabilità presenti nei software Microsoft. Il Patch Tuesday di gennaio è completamente riservato alle versioni desktop e server di Windows. Dopo un 2014 con update mensili per Internet Explorer, l’azienda di Redmond non ha distribuito nessun aggiornamento per il suo browser. Gli utenti devono però installare le nuove versioni di Flash Player per IE10 e IE11 su Windows 8 e Windows 8.1.

L’unica vulnerabilità critica, descritta nel bollettino MS15-002, riguarda il protocollo Telnet. Un malintenzionato potrebbe eseguire codice remoto, inviando pacchetti ad un server Windows, sfruttando la falla di tipo buffer overflow. Il problema è presente in tutte le versioni di Windows, ma solo su Windows Server 2003 è già installato il servizio (ma non è abilitato). Su tutti gli altri sistemi operativi deve essere installato manualmente dall’utente. I bollettini MS15-001 e MS15-003, classificati importanti, sono invece riferiti alle vulnerabilità divulgate pubblicamente da Google, una decisione che ha innescato le proteste di Microsoft.

Le due falle scoperte in Windows 8.1, ma presenti anche nelle altre versioni del sistema operativo, possono essere sfruttate per eseguire codice arbitrario con privilegi elevati. Il rischio tuttavia è minimo, in quanto è necessario avere accesso al computer. Un analogo problema viene evitato con i bollettini MS15-004 e MS15-008. I bollettini MS015-005 e MS15-006 impediscono invece di superare le funzioni di sicurezza integrate in Windows. Infine, il bollettino MS15-007 evita di sfruttare una vulnerabilità in Windows Server per compiere attacchi DoS.

Oltre alle patch di Adobe, gli utenti possono scaricare una nuova versione del bollettino MS14-080 per Internet Explorer che doveva risolvere 14 vulnerabilità, ma ha causato diversi problemi agli utenti.