12 patch da Microsoft per febbraio
L'edizione del Patch Tuesday di febbraio ha visto ieri da parte di Microsoft la risoluzione di 22 falle con 12 bollettini separati. Ben tre i bollettini classificati come "critici", ed altri nove come "importanti". I programmi interessati sono Windows, Internet Explorer, Office, Visual Studio e IIS.
La prima patch critica è un aggiornamento di sicurezza cumulativo per Internet Explorer (MS11-003), che interessa Windows e Internet Explorer. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer, oppure se un utente apre un file legittimo HTML che carica un file di libreria appositamente predisposto. Un utente malintenzionato che riesca a sfruttare una di queste vulnerabilità può ottenere gli stessi diritti utente dell'utente locale.
La seconda (MS11-006) riguarda una vulnerabilità della shell di elaborazione grafica di Windows che potrebbe consentire l'esecuzione di codice in modalità remota se un utente visualizza una immagine thumbnail appositamente predisposta. Se sfruttata, un utente malintenzionato può ottenere gli stessi diritti dell'utente connesso.
L'ultima vulnerabilità critica (MS11-007) è relativa ad un bug nel driver OpenType CFF (compact font format) che potrebbe consentire l'esecuzione di codice remoto a qualsiasi utente che visualizza i contenuti resi con un font CFF appositamente predisposto. Per sfruttare questa vulnerabilità, un utente malintenzionato avrebbe bisogno di convincere gli utenti visitano il sito web dell'aggressore da convincerli a fare clic su un link, di solito in una email o un messaggio istantaneo.
Le restanti patch, tutte di livello importante, risolvono diverse vulnerabilità, di cui varie già divulgate pubblicamente, in Microsoft Internet Information Services (IIS), Visio, JScript e VBScript e in diverse componenti di Windows. Quasi tutte queste vulnerabilità potrebbero dare all'attaccante i privilegi dell'utente colpito, sono quindi da non sottovalutare.
Io sto facendo un Windows Update, meglio stare tranquilli, no?
- [10/04/14] Con Windows Xp, muore Internet Explorer 6, il più odiato browser di sempre
- [03/11/12] "Fateci tracciare ancora gli utenti" l'ira dei pubblicitari
- [20/09/12] Vulnerabilita di Internet Explorer, Microsoft invita a scaricare patch
- [10/06/11] Super Patch Tuesday per Microsoft e Adobe
- [21/04/11] Skype per Android patchato a tempo di record