Patch Tuesday, focus su Internet Explorer

Microsoft, nel consueto appuntamento del Patch Tuesday, per questo mese di febbraio 2015 ha rilasciato 9 patch di cui 3 definite come critiche e di cui una che va a risolvere ben 40 falle di Internet Explorer. La patch MS15-009 contiene dunque un correttivo di massa che va a risolvere 40 criticità del browser di Microsoft, tuttavia non include un fix per una vulnerabilità XSS recentemente scoperta che potrebbe consentire agli aggressori di rubare le credenziali dei visitatori attraverso un sito web compromesso.

La patch MS15-010 chiude invece una mezza dozzina di vulnerabilità tra cui una nota pubblicamente e presente su Windows 7 e 8.x e su Windows Server 2008 R2 e versioni successive e trattasi di un problema del Kernel di Windows che gestisce i font TrueType. La patch MS15-011 rilasciata da Microsoft corregge una vulnerabilità che tocca i dispositivi collegati ad un dominio Windows. La falla può essere sfruttata inducendo un utente a connettersi ad una rete non sicura, come un hot spot wireless. La patch MS15-011 è stata rilasciata però con ampio ritardo dopo che il problema di sicurezza era stato segnalato più di un anno fa da Jeff Schmidt mentre lavorava sotto contratto per ICANN. Questo importante aggiornamento non sarà però rilasciato per Windows Server 2003 i cui amministratori di sistema dovranno quindi fare molta attenzione ed iniziare a pensare alla migrazione verso una versione più recente del sistema operativo per workstation e server.

Tra le patch distribuite c’è ne è una riservata a Flash Player per Internet Explorer 10 e 11 e trattasi del terzo correttivo in circa 2 settimane. I restanti cinque aggiornamenti sono tutti classificati come importanti. Le patch MS15-012 e MS15-013 sono dedicate ad Office. La patch MS15-014 va invece a bloccare gli attacchi che tentano di modificare le impostazioni dei Criteri di Gruppo, mentre la patch MS15-015 impedisce che malintenzionati possano ottenere i privilegi di amministratore per poterli sfruttare a loro vantaggio. MS15-016 risolve, invece, un problema di sicurezza correlato all’uso di speciali file TIFF.

Gli amministratori di server dovranno prestare attenzione alla patch MS15-017. Questa patch è molto importante per le macchine che utilizzano Microsoft System Center 2012 R2 Virtual Machine Manager e che gestiscono molte macchine virtuali. Microsoft ha ripubblicato anche la patch MS14-083 dedicata ad Excel. Il Security Advisory 3009008, originariamente pubblicato nel mese di ottobre dello scorso anno, è stato infatti rivisto.

Infine, Microsoft ha anche rilasciato un aggiornamento opzionale cumulativo per Visual Studio 2010 Tools for Office Runtime, ma è stato ritirato dopo che alcuni utenti hanno rilevato una serie di problemi al sistema operativo dopo l’aggiornamento.

La casa di Redmond non si è dimenticata nemmeno di Windows 10 per il quale ha rilasciato due patch: KB3037975 e KB3038357. La prima dedicata al Flash Player, mentre la seconda va a risolvere problemi vari di stabilità del sistema operativo.

Tutti gli aggiornamenti possono essere scaricati ed installati attraverso Windows Update.