Connessioni / Next / Search / Sicurezza / Social
Microsoft, ecco le patch di giugno
Il tradizionale appuntamento mensile con le correzioni per prodotti Microsoft si traduce in sette bollettini, tre dei quali per vulnerabilità critiche
Internet Explorer, le librerie DirectX e lo stack Bluetooth: questi sono i tre prodotti su cui Microsoft ha concentrato i propri sforzi per il patch day di giugno, correggendone vulnerabilità “critiche” descritte in altrettanti bollettini. Per tutti e tre il rischio legato ai bug è quello di esecuzione arbitraria di codice remoto dovuto a una gestione della memoria non ottimale. Proprio in queste ore gli strumenti di aggiornamento automatico (Windows o Microsoft Update e simili) stanno proteggendo le macchine Windows su cui sono installati ed abilitati.
Per Explorer il bollettino MS08-031 parla di una patch cumulativa, a correzione di due bug complessivi; per uno di essi, relativo alla gestione di oggetti Html, è in circolazione da qualche tempo il relativo exploit, che permette di rubare informazioni a un utente che visiti una pagina Web appositamente creata. Microsoft sottolinea come si possa ridurre l’impatto del problema adottando permessi più restrittivi per gli utenti (ma con possibili ripercussioni negative sulla funzionalità: ad esempio, un blocco troppo drastico dei controlli ActiveX potrebbe impedire la corretta visualizzazione di varie pagine Web). Il problema riguarda tutte le piattaforme Windows, da 2000 a Server 2008, e tutte le versioni di Explorer supportate, dalla 5.01 alla 7.
Anche per DirectX il rischio è l’esecuzione arbitraria di codice remoto accedendo a una risorsa appositamente creata: il bollettino MS08-033 descrive le due relative patch. Per Microsoft, “un attaccante che sfrutti a proprio vantaggio una delle due vulnerabilità può prendere pieno controllo di un sistema vulnerabile”. Il problema riguarda le versioni dalla 7 alla 10 di DirectX, su tutte le piattaforme Windows.
Chiude il quadro Bluetooth: il bollettino MS08-030 circoscrive il bug a sistemi Vista e XP e parla di “possibile presa di controllo di un sistema vulnerabile” a causa di un’errata gestione della memoria nello stack.
Ai tre bollettini che descrivono vulnerabilità critiche se ne affiancano infine altri tre per bug “importanti” e uno per un bug “moderato”; dall’inizio dell’anno Microsoft ha rilasciato 36 bollettini relativi alla sicurezza. L’appuntamento con il prossimo Patch Tuesday è previsto per l‘8 luglio.
1 samarkanda
il 11/06/2008 alle 10:33
Con tutti i bachi che hanno, più che il patch day servirebbe una patch week. O un patch month.