Dopo un settembre stranamente tranquillo, Microsoft rilascia in questo primo stralcio di autunno una serie di aggiornamenti particolarmente interessanti per Windows e Office. Sei di livello critico. 
Vulnerability in Windows Explorer... (MS06-057)
La prima patch era ampiamente prevista, e risolve il problema nel controllo WebViewFolderIcon di cui avevamo dato notizia solo pochi giorni fa.
Va precisato che, nonostante la vulnerabilità sia presente in Windows Explorer, l'unico vettore di attacco possibile sembra essere attraverso Internet Explorer. Ribadisco ancora che questa patch non è necessaria per chi avesse preferito un browser alternativo: in caso contrario, il download deve essere considerato assolutamente prioritario.
>> Bollettino Microsoft e download
Vulnerabilities in Microsoft PowerPoint... (MS06-058)
Anche in questo secondo caso un aggiornamento atteso: in particolare, questa patch corregge numerose debolezze di PowerPoint, tutte simili a quella descritta alcuni giorni addietro, anch'essa risolta da questo update.
Anche in questo caso si tratta di una priorità per chiunque utilizzasse il software di presentazioni Microsoft.
Bollettino Microsoft e download
Vulnerabilities in Microsoft Excel... (MS06-059)
E se PowerPoint aveva mostrato qualche incertezza nella gestione di file malformati, emerge ora che una serie di problemi analoghi interessano anche tutte le versioni di Excel, comprese quelle per Mac.
Confezionando un documento malformato un cracker potrebbe prendere pieno controllo della macchina remota che aprisse tale file con una versione di Excel non aggiornata mediante questo update.
Anche in questo caso si tratta di una patch da installare al più presto: in prospettiva però la sola patch non è sufficiente, e deve essere coadiuvata dalla consueta dose di diffidenza verso qualsiasi file proveniente Rete.
>> Bollettino Microsoft e download
Vulnerabilities in Microsoft Word... (MS06-060)
E con una serie di debolezze in Word che interessano l'apertura di file malformati, Microsoft chiude il tris dei prodotti Office più utilizzati.
Anche in questo caso un cracker potrebbe tentare l'aggressione creando documenti fittizi in grado di sfruttare una delle quattro falle risolte da questo aggiornamento.
Nel mirino sono tutte le edizioni di Office dalla 2000 alla 2003, compresa l'edizione 2004 ed "X" per Mac. Non solo: in pericolo sono anche gli utilizzatori di Works, la versione domestica di Office, in versione 2004-2005-2006.
>> Bollettino Microsoft e download
Vulnerabilities in Microsoft XML Core Services... (MS06-061)
Questo aggiornamento risolve invece due problemi nei servizi di gestione dei documenti XML: anche in questo caso per un cracker sarebbe possibile realizzare una pagina web che, se visualizzata sul sistema dell'utente, sarebbe in grado di consentire pieno accesso ai dati contenuti.
Ancora una volta purtroppo Microsoft rende estremamente difficile capire se si tratta di un problema il cui unico vettore di attacco possa essere Internet Explorer oppure se si tratti di un bug sfruttabile anche in altro modo: dalle poche informazioni a disposizione propendo per la prima ipotesi, ma raccomando comunque di installare questo aggiornamento anche in caso fosse in uso un browser differente.
>> Bollettino Microsoft e download
Vulnerabilities in Microsoft Office... (MS06-062)
Il sesto ed ultimo aggiornamento di livello critical interessa di nuovo il pacchetto Office e risolve numerosi problemi legati alla gestione della memoria ed alla validazione di file malformati: un utente ostile potrebbe sfruttare tali bug per sortire effetti variabili fra il crash del programma (tutte le versioni di Office) fino ad arrivare all'esecuzione di codice da remoto con conseguente pieno controllo della macchina colpita (solo Office 2000, a quanto pare).
Questo aggiornamento dovrebbe essere prioritario per chiunque utilizzasse Office 2000, mentre può essere considerato tutto sommato meno importante per le versioni successive.
>> Bollettino Microsoft e download
Tutti gli altri
Fra gli altri update del mese ad importanza inferiore, Microsoft ha rilasciato un aggiornamento per il servizio Server (MS06-063) che può tranquillamente essere trascurato a patto di dotare la propria postazione di un tradizionale personal firewall ed un hotfix di limitata importanza per ASP.NET 2.0 (MS06-056), da valutare unicamente per i server web che utilizzassero tale tecnologia.
Classificata ad importanza più limitata anche una debolezza legata a Windows Object Packager (MS06-065) che, in combinazione con Internet Explorer ed un certo livello di collaborazione da parte della vittima potrebbe consentire ad un cracker di prendere pieno controllo di un sistema bersaglio: sebbene Microsoft classifichi questa vulnerabilità con un livello di pericolosità meno accentuato, raccomando a chiunque utilizzasse Internet Explorer di installare questo hotfix alla prima occasione utile.
Chiude in bellezza un update di scarsa rilevanza per il componente TCP/IP IPv6 (MS06-064) (fra l'altro nemmeno non installato di default su alcun sistema operativo Microsoft).
Da non dimenticare!
Ricordo infine che Microsoft a rilasciato in itinere un undicesimo aggiornamento a priorità elevatissima per la falla nel componente incaricato di gestire Vector Markup Language all'interno di Internet Explorer: se utilizzate il browser Microsoft per navigare Rete vi raccomando vivamente di installare anche questo.
Alla stessa pagina in cui si parla della falla in VML troverete anche alcune righe riguardanti un problema in DirectAnimation. Non ho alcun riscontro che tale falla sia stata corretta, ed è quindi da considerarsi a tutti gli effetti unpatched.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati