Connessioni / Next / Search / Sicurezza / Social
Microsoft, le patch di febbraio sono quattro
Corretti Internet Explorer e Visio sul fronte desktop, Sql Server ed Exchange sul versante server. Due sono le vulnerabilità critiche e due quelle importanti: quella del mailserver è la più a rischio tra tutte
Tutto sommato tranquillo il Patch Tuesday che ha portato i dovuti cerotti alle applicazioni Microsoft presenti sul 90% dei desktop installati su base mondiale: le correzioni sono quattro, descritte da altrettanti bollettini, e riguardano nell’ordine Internet Explorer , il server di posta Exchange , il database Sql Server e lo strumento per la modellistica Visio, parte della suite Office.
Le prime due correzioni sono relative a bug critici - il massimo livello previsto dalla scala di Microsoft - e le altre riguardano bug importanti. Va sottolineato che il bug di Sql Server era noto dallo scorso dicembre: sulle prime era ipotizzabile che Big M intervenisse nel Patch Tuesday di gennaio, mentre invece in quel di Redmond si è deciso di aspettare un altro mese.
E’ la patch per Exchange, con buona probabilità, ad essere quella di maggior rilievo: il mailserver di casa Microsoft è infatti a rischio di denial of service o di compromissione, mediante una e-mail con un allegato appositamente creato. Secondo l’analisi di TippingPoint, “Un server di posta compromesso, oltre a potere svelare segreti aziendali, può essere usato come vettore d’attacco per altri server aziendali”.
Internet Explorer viene aggiornato per ovviare a due vulnerabilità distinte, che portano entrambe all’installazione di software arbitrario passando per un sito Web maligno: secondo Microsoft, non ci sono exploit in circolazione, ma il problema potrebbe presentarsi nei prossimi mesi per i sistemi non coperti da patch.
Per Sql Server, come accennato, arriva finalmente una correzione: Microsoft era al corrente del bug dallo scorso aprile e ha iniziato a lavorarvi a settembre. Evidentemente, non le ha mai assegnato massima priorità e questa può essere una spiegazione plausibile per il ritardo accumulato. Visio, infine, viene aggiornato per una possibile esecuzione di codice remoto: si tratta di una patch cumulativa, i cui fattori mitiganti - su tutti, l’interazione richiesta all’utente - non rendono la vulnerabilità sfruttabile in maniera automatica.
Il prossimo appuntamento con le patch per i prodotti Microsoft è previsto per martedì 10 marzo: come al solito, le patch saranno distribuite ai desktop italiani tra quella data e il giorno successivo.
Ancora nessun commento.